Dag
Ik ben een website aan het maken waar een inlog-procedure aan komt te hangen (MySQL database). Nu wordt vaak een optie geboden om een nieuw password aan te vragen/maken als het oude vergeten is. Een van de manieren om te verifiëren dat de aanvrager daadwerkelijk daartoe gerechtigd is, is via het stellen van beveiligingsvragen. Het is geen belangrijke site dus het is mijn bedoeling dit zo toegankelijk mogelijk te maken (vandaar beveiligingsvragen en geen pincodes of iets dergelijks) maar ik besef dat velen gelijke passwoorden gebruiken voor onbenullige sites maar ook belangrijke sites. Om die reden wil ik het wel goed dichttimmeren. Een groot lek kunnen de beveiligingsvragen vormen, heb ik begrepen. Veel van de antwoorden op dergelijke vragen zijn vrij eenvoudig via de social media te achterhalen. Ik heb met de autoriteit persoonsgegevens gebeld en het is toegestaan delen van het BSN nummer te gebruiken, zolang het echte nummer niet herleidbaar is. Ik had gedacht om bijvoorbeeld een vermenigvuldiging van de eerste twee en de laatste twee cijfers van het BSN als antwoord op een veiligheidsvraag te laten geven. Dit is bij mijn weten niet herleidbaar naar het BSN nummer, heeft duizenden antwoorden en is voor degene om wie het werkelijk gaat relatief eenvoudig te beantwoorden. Ziet iemand daar problemen mee of heeft iemand een beter idee?
groetjes, Anjo
Ik ben een website aan het maken waar een inlog-procedure aan komt te hangen (MySQL database). Nu wordt vaak een optie geboden om een nieuw password aan te vragen/maken als het oude vergeten is. Een van de manieren om te verifiëren dat de aanvrager daadwerkelijk daartoe gerechtigd is, is via het stellen van beveiligingsvragen. Het is geen belangrijke site dus het is mijn bedoeling dit zo toegankelijk mogelijk te maken (vandaar beveiligingsvragen en geen pincodes of iets dergelijks) maar ik besef dat velen gelijke passwoorden gebruiken voor onbenullige sites maar ook belangrijke sites. Om die reden wil ik het wel goed dichttimmeren. Een groot lek kunnen de beveiligingsvragen vormen, heb ik begrepen. Veel van de antwoorden op dergelijke vragen zijn vrij eenvoudig via de social media te achterhalen. Ik heb met de autoriteit persoonsgegevens gebeld en het is toegestaan delen van het BSN nummer te gebruiken, zolang het echte nummer niet herleidbaar is. Ik had gedacht om bijvoorbeeld een vermenigvuldiging van de eerste twee en de laatste twee cijfers van het BSN als antwoord op een veiligheidsvraag te laten geven. Dit is bij mijn weten niet herleidbaar naar het BSN nummer, heeft duizenden antwoorden en is voor degene om wie het werkelijk gaat relatief eenvoudig te beantwoorden. Ziet iemand daar problemen mee of heeft iemand een beter idee?
groetjes, Anjo