Effettuare l'accesso con il proprio numero di ID pubblico e la data di nascita suona come un enorme rischio per la sicurezza.
Se l'ID è pubblico come dici tu, la data di nascita della persona associata a quell'ID può essere facilmente scoperta. Sarebbe banale sapere o (se il potenziale attaccante sa che la vittima è un sistema localizzato), recuperare (ad esempio attraverso i social media), indovinare o forzare la data di nascita. Forzare brutalmente la data di nascita tra tutti gli account se gli ID sono sequenziali sarebbe facile, poiché sarebbe richiesto solo un intervallo di date ristretto, presumendo che la maggior parte degli studenti nascano intorno allo stesso anno per un determinato intervallo di ID.
Ovviamente, gli studenti possono cambiare le loro password in qualcos'altro, ma se non sono richieste dal sistema, il rischio non viene significativamente ridotto. Direi che la maggior parte degli utenti non si preoccuperebbe di cambiare la propria password poiché il loro DOB è facilmente memorizzabile.
L'uso di HTTPS è buono, anche se non hai idea di come le informazioni siano archiviate e protette sui loro sistemi di back-end.
Dovresti parlare con un docente o con qualcuno al college con le tue preoccupazioni, anche se spesso queste preoccupazioni possono cadere nel vuoto. Tuttavia, non proverei a provare alcuna vulnerabilità in quanto ci sono tutti troppe storie là fuori come questa . Se hai avuto qualche prova, potrebbe essere meglio inviarla al college in modo anonimo su carta stampata stampata su una stampante pubblica per impedire la stampante steganografia di identificarti.