‘Controlevraag is beveiligingsrisico’

De controlevraag die veel online aanbieders gebruiken als authenticatiemiddel voordat ze een vergeten wachtwoord toemailen aan een gebruiker, is een beveiligingsrisico. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky.

'Controlevragen vergroten het beveiligingsrisico, omdat je via zo'n vraag een aanbieder kunt vragen om een wachtwoord te resetten', aldus Schouwenberg.

Door de toenemende populariteit van social media is de controlevraag als authenticatiemiddel volgens Schouwenberg volstrekt ongeschikt geworden. 'Kwaadwillenden kunnen op bijvoorbeeld Facebook zo de naam van je favoriete huisdier opzoeken.'

Controlevraag als wachtwoord

Als gebruiker van online diensten kun je als antwoord op een controlevraag daarom misschien nog het beste een fout antwoord geven, adviseert Schouwenberg. Bovendien moet je volgens de beveiligingsdeskundig 'met de controlevraag hetzelfde omgaan als met een wachtwoord'. Dat betekent volgens Schouwenberg dus ook dat je op elke site een ander antwoord moet geven op dezelfde controlevraag. 'Je hebt er eigenlijk een wachtwoordmanager voor nodig.'

Fog computing

Schouwenberg is niet de eerste beveiligingsonderzoeker die gebruikers aanraadt nepgegevens over zichzelf op het internet te verspreiden.

'Ik propageer fog computing', zei hoogleraar Salvatore Stolfo van de Columbia-universiteit in New York eerder tegen Computable. 'Het in de cloud zetten van je data is niet veilig. Bedrijven die dat wel beweren, verkopen onzin. De enige oplossing is om niet alleen je eigen data, maar ook een hoop onzin up te loaden, zodat anderen niet weten wat echt is. De oude Egyptenaren gebruikten die techniek van datavergiftiging al.'