Een tegoedbon is alles wat nodig is om vertrouwelijke gegevens van nietsvermoedende consumenten te achterhalen, zo hebben onderzoekers van RSA Security ontdekt. Het onderzoeksteam ondervroeg, gewapend met klemborden, pen en een bijpassend 'I Love NY'-T-shirt, een groot aantal voorbijgangers in Central Park in New York naar hun volledige naam, adres of geboortedatum. De resultaten waren onthutsend. Nagenoeg alle ondervraagden gaven zonder blikken of blozen persoonlijke informatie vrij. Hierbij moet wel gezegd worden dat de voorbijgangers verteld werd dat ze een tegoedbon konden winnen.

Het team verklaarde een onderzoek te doen naar toerisme in New York. Deze aanpak zorgde ervoor dat voorbijgangers de vragenlijst als officieel en veilig beschouwden. Dit is exact hoe bij phishing-aanvallen met echte logo's en vaktermen een vals gevoel van veiligheid wordt gecreëerd. In dit experiment waren de vragen erop gericht om 'onschuldige' informatie - zoals meisjesnaam, favoriet sportteam, geboortedatum - te achterhalen. Consumenten gebruiken juist deze onderwerpen vaak als wachtwoord.

Uit het onderzoek blijkt dat consumenten makkelijk persoonlijke informatie prijsgeven. Deze gegevens zijn vervolgens te gebruiken om hun wachtwoord te raden of gebruik te maken van hun online identiteit. Vier belangrijke resultaten onderstrepen dat de waakzaamheid die nodig is om wachtwoorden te beschermen, nagenoeg afwezig is.

• Ruim 70 procent van de respondenten vertelde de meisjesnaam van hun moeder.
  
• Meer dan 90 procent gaf een geboortedatum en -plaats op.
  
• Bijna 55 procent legde uit hoe ze online wachtwoorden bedenken.
  
• Bijna 85 procent van de respondenten gaf een volledige naam, adres en e-mailadres op.

Een klein aantal van de ondervraagde personen weigerde antwoord te geven op de vraag hoe ze hun wachtwoord bedenken. De verklaring hiervoor was, dat deze informatie 'te persoonlijk' is. Dezelfde personen hadden echter geen moeite om hun geboortedatum of meisjesnaam van hun moeder op te geven. Hieruit blijkt dat consumenten zich vaak niet bewust zijn van de 'achterdeuren' van hun online accounts.

Het RSA Security Life Questions-onderzoek vond plaats van 24 augustus tot 6 september 2005 in New York City. De vragen varieerden van 'Is dit uw eerste bezoek aan New York City?' tot gevoeliger onderwerpen als geboortedatum en -plaats, meisjesnaam van de moeder, namen van de kinderen, huisdier, favoriet sportteam, de methode om wachtwoorden samen te stellen en volledig e-mailadres. 108 personen vulden de vragenlijst volledig in. Alle verzamelde informatie werd direct teruggegeven aan de respondenten.