「秘密の質問」に答えておけばパスワードを忘れても大丈夫!……ホントに大丈夫?:ここがヘンだよ、セキュリティの常識
ユーザー登録などで設定することがある「秘密の質問」と「答え」。“合言葉”みたいなアレを設定しておけば、万が一パスワードを忘れてしまったりしても安心……? ホントに?
「秘密の質問」というのは、あれですよ、あれ。「あなたのペットの名前は?」「あなたの母親の旧姓は?」「初めて見た映画のタイトルは?」みたいなやつ。よくWebサービスにユーザー登録するとき、入力を求められますよね。パスワードを忘れてしまったり、変更したりするときに、この質問に回答することで、いったんパスワードをリセットできたりします。
「これなら万が一、パスワードを忘れてしまっても安心!」
まぁ確かに、パスワード忘れの対策としては便利でしょう。
ただ、よくよく考えてみると、このやり方、そもそも始めから矛盾をはらんでいるような……。だって、パスワードは日頃から散々、「何文字以上で!」「小文字と大文字を混ぜて!」「数字も混ぜて!」「使い回しはダメ!」とかガミガミ言われてるのに、いったん「あー、忘れちゃったよ」ということになった途端に「田中」だの「ポチ」だの「スターウォーズ」でもOKって、どう考えても……おかしくないか?
本来はこれって「第2のパスワード」という位置付けだから、普段使ってるパスワード並みの強度がないといけないわけで。それに、ペットの名前や初めて見た映画なんて、SNS全盛のこのご時勢では、Facebookやインスタを調べればけっこう分かっちゃったりするし、中にはTwitterで「今日誕生日の人はRT」「#ペットの名前」なんて仕掛けをばらまいて答えをかき集めるような輩もいるわけで。
だから、たとえ「あなたのペットの名前は?」と聞かれても、ばか正直に「タマにゃん」と答える代わりに、本当は「"ksFi3%)jP*?fQ"」みたいな感じで答えるべきなんです。でも、普段使っているパスワードですら覚えるのが大変なのに、それに加えてめったに使わない第2のパスワードまで覚えなきゃいけないって、まあ無理ゲーですよね、やっぱり……。
ちなみにIPAが2015年7月1日に公表した「2015年7月の呼びかけ『その秘密の質問の答えは第三者に推測されてしまうかもしれません』」の中では、秘密の質問の答えに「〜かもしれない」みたいな定型フレーズをくっつけることで、第三者から容易に推測されないようにする手法が紹介されてます。
でも、「〜かもしれない」じゃありきたりで、クラッカーに推測される可能性もなきにしもあらずなので、例えば頭に「アルプスの少女〜」を付けてみるのはどうでしょうか?
- 「あなたの母親の旧姓は?」「アルプスの少女鈴木」
- 「あなたのペットの名前は?」「アルプスの少女ポチ」
- 「初めて見た映画のタイトルは?」「アルプスの少女ランボー怒りの脱出」
……というか、そもそもこんな面倒なことしなくても、最近ではメールを使った2要素認証でもっと安全・確実に本人確認を取る手段が普及してます。そんな中でいまだに秘密の質問に答える方法を採ってるサイトやWebサービスは、セキュリティ対策のレベルを疑ってみてもいいかもしれません。
というわけで、今回の結論。
「『秘密の質問』以外の本人確認手段がないサイトには要注意!」
関連記事
- 連載:「ここがヘンだよ、セキュリティの常識」記事一覧
iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。
さらば、パスワード Slackも採用したパスワードレス認証とは
パスフレーズは使えない、2要素認証は面倒、パスワードマネジャーはもっと面倒……。そんなパスワード問題に打開策が登場?
ここまで来た、悪質Web広告の“だましの”手口
“誤タップ狙いがみえみえ”のひどい表示方法が横行する悪質Web広告。最近は、こんな手口まで……。
Tesla、パブリッククラウド環境に不正侵入される 仮想通貨採掘マルウェアも発見
AWSやAzureなどのクラウド環境に不正侵入して、仮想通貨採掘マルウェアを仕込む「クリプトジャッキング」の事案が多数見つかっているという。
SBT、UTM向けマネージドセキュリティサービス「MSS for UTM」を提供開始 横断的なログ分析で多層防御を強化
ソフトバンク・テクノロジー(SBT)は、UTM製品に対する24時間365日の運用監視を行うサービス「MSS for UTM」の提供を開始した。複数のセキュリティ機能によるログを横断的に分析することで、攻撃の兆候や異常を高精度に検知し、強固な多層防御体制を実現できるという。
Copyright © ITmedia, Inc. All Rights Reserved.