IDやパスワードとともに使われる「秘密の質問」について、情報処理推進機構(IPA)は、質問内容によっては第三者に答えを推測されてしまう場合があると、注意を呼び掛けた。答えを推測されにくい使い方をアドバイスしている。
「秘密の質問」は、ユーザーがIDやパスワードを忘れてしまった際の本人確認などで使われることが多い。よくある質問内容は「あなたの母親の旧姓は?」「あなたのペットの名前は?」といったもの。しかし、質問の答えに実際の名前を設定してしまうと、第三者にバレやすい。ペットの名前でも、ユーザーがSNSなどで「●●ちゃん」などと投稿していれば、簡単に分かってしまうという。
IPAは、まず「秘密の質問」以外にユーザーを確認する方法(例えば、ワンタイムパスワードなど)があれば、その方法を利用するか、併用することを推奨している。また「秘密の質問」を使う場合は、第三者に推測されにくい「答え」を設定しつつも、ユーザー本人が思いだせないような複雑な内容にはしないことが求められる。
「秘密の質問」の答えを設定・管理する場合、例えば、ユーザーしか知らない文字列を「共通フレーズ」として事前に用意しておき、利用するサービスやシステムごとに、文字の数や種類を追加して使い分けていく。ただし、サービスやシステムが異なっても同じ「質問」を選択いると、「答え」が同じなってしまう場合もあるといい、サービスやシステムごとに異なる「識別情報」を工夫する必要があるとしている。
またIPAは、「秘密の質問」の仕組みを提供しているサービス提供者に、「秘密の質問」以外のユーザー確認方法も用意してほしいと呼び掛ける。具体的には以下の方法を挙げている。
「質問」の内容から第三者に「答え」を特定されないための対策
- 利用者が設定した「質問」はいつでも変更できるようにする
- 利用者が「質問」を自由に記述できるようにする
- 万が一の漏えいに備えて設定された「質問」は暗号化して管理する
「答え」を第三者に推測されないための対策
- 利用者が設定した「答え」はいつでも変更できるようにする
- 利用者が「答え」で設定できる文字数や文字種を可能な限り増やす
- 万一の漏えいに備えて設定された「答え」はソルト付きハッシュ値(※)として管理する
(※ソルト付きハッシュ値:ハッシュの元となるデータに、ソルトと呼ばれる利用者毎に異なる値で生成した文字列をつなげてハッシュ化した値)
関連記事
- 「秘密の質問」は欠陥品? 正しい使い方とは
Googleが「秘密の質問」には欠陥があると指摘したが、本当に脆弱な機能なのだろうか。考え方を変えれば、実はとっても便利な機能だ。その方法を解説する。 - 「秘密の質問」が突破される確率は? Googleが調査
例えば米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられた。 - パスワード使い回しに警告、Googleがブラウザ拡張に新機能
Googleアカウントでのパスワード使い回すと、「Gmailのパスワードをリセットしてください」という警告画面が表示される。 - 今すぐ実践したいパスワードリスト攻撃への備え
オンラインサービスへの不正ログイン事件が後を絶たない。実態調査をもとにIPAがおすすめしている対策をまとめてみた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.