Tegoedbon voldoende om wachtwoord te achterhalen

Consumenten geven te makkelijk persoonlijke informatie prijs, blijkt uit een 'phishing'-experiment van RSA Security.
Alle berichten in de media ten spijt blijken consumenten nog steeds een vals gevoel van veiligheid te hebben over hun (online) identiteit. Wanneer hen wordt gevraagd naar hun volledige naam, adres of geboortedatum en ze daarmee een tegoedbon kunnen winnen, blijken ze volledig te vertrouwen op de blauwe ogen van een marktonderzoeker. Dit blijkt uit een live phishing-experiment van RSA Security. Een onderzoeksteam ondervroeg, gewapend met klemborden, pen en een bijpassend 'I Love NY'-T-shirt, een groot aantal voorbijgangers in Central Park in New York. De resultaten waren onthutsend. Nagenoeg alle ondervraagden gaven zonder blikken of blozen persoonlijke informatie vrij.

Het team verklaarde een onderzoek te doen naar toerisme in New York. Deze aanpak zorgde ervoor dat voorbijgangers de vragenlijst als officieel en veilig beschouwden. Dit is exact hoe bij phishing-aanvallen met echte logo's en vaktermen een vals gevoel van veiligheid wordt gecreerd. In dit experiment waren de vragen erop gericht om 'onschuldige' informatie - zoals meisjesnaam, favoriet sportteam, geboortedatum - te achterhalen. Consumenten gebruiken juist deze onderwerpen vaak als wachtwoord.

Uit het onderzoek blijkt dat consumenten makkelijk persoonlijke informatie prijsgeven. Deze gegevens zijn vervolgens te gebruiken om hun wachtwoord te raden of gebruik te maken van hun online identiteit. Vier belangrijke resultaten onderstrepen dat de waakzaamheid die nodig is om wachtwoorden te beschermen, nagenoeg afwezig is.
- Ruim 70 procent van de respondenten vertelde de meisjesnaam van hun moeder.
- Meer dan 90 procent gaf een geboortedatum en -plaats op.
- Bijna 55 procent legde uit hoe ze online wachtwoorden bedenken.
- Bijna 85 procent van de respondenten gaf een volledige naam, adres en e-mailadres op.

Een klein aantal van de ondervraagde personen weigerde antwoord te geven op de vraag hoe ze hun wachtwoord bedenken. De verklaring hiervoor was, dat deze informatie 'te persoonlijk' is. Dezelfde personen hadden echter geen moeite om hun geboortedatum of meisjesnaam van hun moeder op te geven. Hieruit blijkt dat consumenten zich vaak niet bewust zijn van de 'achterdeuren' van hun online accounts.