検索
連載
ここがヘンだよ、セキュリティの常識:

「秘密の質問」に答えておけばパスワードを忘れても大丈夫!……ホントに大丈夫?

ユーザー登録などで設定することがある「秘密の質問」と「答え」。“合言葉”みたいなアレを設定しておけば、万が一パスワードを忘れてしまったりしても安心……? ホントに?

PC用表示 関連情報
Share
Tweet
g+
LINE
Hatena

 「秘密の質問」というのは、あれですよ、あれ。「あなたのペットの名前は?」「あなたの母親の旧姓は?」「初めて見た映画のタイトルは?」みたいなやつ。よくWebサービスにユーザー登録するとき、入力を求められますよね。パスワードを忘れてしまったり、変更したりするときに、この質問に回答することで、いったんパスワードをリセットできたりします。

「これなら万が一、パスワードを忘れてしまっても安心!」

 まぁ確かに、パスワード忘れの対策としては便利でしょう。

 ただ、よくよく考えてみると、このやり方、そもそも始めから矛盾をはらんでいるような……。だって、パスワードは日頃から散々、「何文字以上で!」「小文字と大文字を混ぜて!」「数字も混ぜて!」「使い回しはダメ!」とかガミガミ言われてるのに、いったん「あー、忘れちゃったよ」ということになった途端に「田中」だの「ポチ」だの「スターウォーズ」でもOKって、どう考えても……おかしくないか?

Photo

 本来はこれって「第2のパスワード」という位置付けだから、普段使ってるパスワード並みの強度がないといけないわけで。それに、ペットの名前や初めて見た映画なんて、SNS全盛のこのご時勢では、Facebookやインスタを調べればけっこう分かっちゃったりするし、中にはTwitterで「今日誕生日の人はRT」「#ペットの名前」なんて仕掛けをばらまいて答えをかき集めるような輩もいるわけで。

Photo

 だから、たとえ「あなたのペットの名前は?」と聞かれても、ばか正直に「タマにゃん」と答える代わりに、本当は「"ksFi3%)jP*?fQ"」みたいな感じで答えるべきなんです。でも、普段使っているパスワードですら覚えるのが大変なのに、それに加えてめったに使わない第2のパスワードまで覚えなきゃいけないって、まあ無理ゲーですよね、やっぱり……。

Photo
Apple IDの作成画面の場合、3つの「セキュリティ質問」の設定とCAPTCHAを組み合わせてセキュリティを強化している(出典:Appleサイトより)

 ちなみにIPAが2015年7月1日に公表した「2015年7月の呼びかけ『その秘密の質問の答えは第三者に推測されてしまうかもしれません』」の中では、秘密の質問の答えに「〜かもしれない」みたいな定型フレーズをくっつけることで、第三者から容易に推測されないようにする手法が紹介されてます。

 でも、「〜かもしれない」じゃありきたりで、クラッカーに推測される可能性もなきにしもあらずなので、例えば頭に「アルプスの少女〜」を付けてみるのはどうでしょうか?

  • 「あなたの母親の旧姓は?」「アルプスの少女鈴木」
  • 「あなたのペットの名前は?」「アルプスの少女ポチ」
  • 「初めて見た映画のタイトルは?」「アルプスの少女ランボー怒りの脱出」

 ……というか、そもそもこんな面倒なことしなくても、最近ではメールを使った2要素認証でもっと安全・確実に本人確認を取る手段が普及してます。そんな中でいまだに秘密の質問に答える方法を採ってるサイトやWebサービスは、セキュリティ対策のレベルを疑ってみてもいいかもしれません。

Photo

 というわけで、今回の結論。

「『秘密の質問』以外の本人確認手段がないサイトには要注意!」

Photo

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る