Geheime vraag vaak niet meer geheim
Verschillende online diensten maken gebruik van een geheime vraag om de identiteit van hun gebruikers te verifiëren. Het antwoord op die geheime vraag kan tegenwoordig echter vaak gevonden worden via een zoekrobot, sociale netwerken of phishing e-mails. De geheime vraag zou daarom ook niet op zich mogen staan, maar onderdeel moeten uitmaken van een identificatiesysteem met meerdere niveaus.
Joseph Steinberg, CEO van Green Armor Solutions, stelt dat in het huidige klimaat, waar iedereen gemakkelijk mobiel op internet kan en steeds meer mensen hun persoonlijke informatie online plaatsten, de geheime vraag niet meer veilig is als toegangsmiddel tot een netwerk of website. De geheime vraag vraagt meestal naar informatie die ooit vertrouwelijk of persoonlijk was, zoals de meisjesnaam van je moeder, maar die nu eenvoudig via Google terug te vinden is, aldus Steinberg.
Steinberg wijst ook op sociale media als uitstekende jachtvelden voor cybercriminelen die op zoek zijn naar persoonlijke gegevens van gebruikers. Zo is LinkedIn een goede bron voor informatie over je eerste job of de universiteit waar je gestudeerd heeft. Facebook of Pinterest kunnen dan weer antwoorden prijsgeven zoals de meisjesnaam van je moeder, de plaats waar je bent opgegroeid of je persoonlijke interesses.
[related_article id=”161920″]
Ronnie Ng, Director of Systems Engineering bij Symantec Singapore, voegt daar nog aan toe dat cybercriminelen die via phishing e-mails je wachtwoord bemachtigen, waarschijnlijk ook over de informatie bezitten om je geheime vraag te kraken.
Kennisvragen ook niet veilig
Steinberg laat weten dat er ook sterkere geheime vragen bestaan die zijn gebaseerd op persoonlijke kennis en waarvan het antwoord niet zomaar online te vinden is. De antwoorden op deze vragen zijn zaken die je normaal gezien niet ergens publiek bekend maakt, zoals het bedrag van de maandelijkse afbetaling van je lening of de straat waar je jaren geleden woonde.
Chris Brennan, CEO van NetAuthority, merkt wel op dat dit soort kennisvragen soms zo obscuur kunnen zijn, dat de antwoorden te moeilijk zijn om te herinneren. Zo vragen sommige banken wanneer je voor de laatste keer een transactie uitvoerde, maar dit soort informatie wordt niet altijd door de gebruiker onthouden.
Deze op persoonlijke kennis gebaseerde vragen zijn helaas ook niet onkwetsbaar, zo waarschuwt Steinberg. Volhardende hackers zullen altijd wel een manier verzinnen om het juiste antwoord te vinden, bijvoorbeeld door het af te leiden uit de informatie die ze hebben kunnen verzamelen.
Ronnie Ng van Symantec roept online diensten op om hun beveiliging te versterken met behulp van verificatie op verschillende niveaus. Toestelverificatie, gepaard met kennisvragen, zou de beveiliging al heel wat verbeteren. In plaats van slechts één vraag te stellen, moet voor de verificatie van iemands identiteit een hele reeks vragen worden gesteld.
Ng wijst erop dat dergelijke strategieën altijd moeten worden ontwikkeld met het gebruiksgemak in het achterhoofd. Gebruikers mogen niet afgeschrikt worden door de extra lagen beveiliging en de tijd die het in beslag neemt om zichzelf te identificeren.
Gebruikers kunnen de veiligheid van het verificatieproces zelf ook al verbeteren door vragen te kiezen waarvan zij alleen het antwoord weten en ervoor te zorgen dat deze informatie niet openbaar wordt gemaakt.
Verschillende online diensten maken gebruik van een geheime vraag om de identiteit van hun gebruikers te verifiëren. Het antwoord op die geheime vraag kan tegenwoordig echter vaak gevonden worden via een zoekrobot, sociale netwerken of phishing e-mails. De geheime vraag zou daarom ook niet op zich mogen staan, maar onderdeel moeten uitmaken van een identificatiesysteem met meerdere niveaus.
Joseph Steinberg, CEO van Green Armor Solutions, stelt dat in het huidige klimaat, waar iedereen gemakkelijk mobiel op internet kan en steeds meer mensen hun persoonlijke informatie online plaatsten, de geheime vraag niet meer veilig is als toegangsmiddel tot een netwerk of website. De geheime vraag vraagt meestal naar informatie die ooit vertrouwelijk of persoonlijk was, zoals de meisjesnaam van je moeder, maar die nu eenvoudig via Google terug te vinden is, aldus Steinberg.
Steinberg wijst ook op sociale media als uitstekende jachtvelden voor cybercriminelen die op zoek zijn naar persoonlijke gegevens van gebruikers. Zo is LinkedIn een goede bron voor informatie over je eerste job of de universiteit waar je gestudeerd heeft. Facebook of Pinterest kunnen dan weer antwoorden prijsgeven zoals de meisjesnaam van je moeder, de plaats waar je bent opgegroeid of je persoonlijke interesses.
[related_article id=”161920″]
Ronnie Ng, Director of Systems Engineering bij Symantec Singapore, voegt daar nog aan toe dat cybercriminelen die via phishing e-mails je wachtwoord bemachtigen, waarschijnlijk ook over de informatie bezitten om je geheime vraag te kraken.
Kennisvragen ook niet veilig
Steinberg laat weten dat er ook sterkere geheime vragen bestaan die zijn gebaseerd op persoonlijke kennis en waarvan het antwoord niet zomaar online te vinden is. De antwoorden op deze vragen zijn zaken die je normaal gezien niet ergens publiek bekend maakt, zoals het bedrag van de maandelijkse afbetaling van je lening of de straat waar je jaren geleden woonde.
Chris Brennan, CEO van NetAuthority, merkt wel op dat dit soort kennisvragen soms zo obscuur kunnen zijn, dat de antwoorden te moeilijk zijn om te herinneren. Zo vragen sommige banken wanneer je voor de laatste keer een transactie uitvoerde, maar dit soort informatie wordt niet altijd door de gebruiker onthouden.
Deze op persoonlijke kennis gebaseerde vragen zijn helaas ook niet onkwetsbaar, zo waarschuwt Steinberg. Volhardende hackers zullen altijd wel een manier verzinnen om het juiste antwoord te vinden, bijvoorbeeld door het af te leiden uit de informatie die ze hebben kunnen verzamelen.
Ronnie Ng van Symantec roept online diensten op om hun beveiliging te versterken met behulp van verificatie op verschillende niveaus. Toestelverificatie, gepaard met kennisvragen, zou de beveiliging al heel wat verbeteren. In plaats van slechts één vraag te stellen, moet voor de verificatie van iemands identiteit een hele reeks vragen worden gesteld.
Ng wijst erop dat dergelijke strategieën altijd moeten worden ontwikkeld met het gebruiksgemak in het achterhoofd. Gebruikers mogen niet afgeschrikt worden door de extra lagen beveiliging en de tijd die het in beslag neemt om zichzelf te identificeren.
Gebruikers kunnen de veiligheid van het verificatieproces zelf ook al verbeteren door vragen te kiezen waarvan zij alleen het antwoord weten en ervoor te zorgen dat deze informatie niet openbaar wordt gemaakt.