ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

「秘密の質問」が突破される確率は? Googleが調査

» 2015年05月22日 07時00分 公開
[鈴木聖子ITmedia]
「秘密の質問」は秘密にならない? (Googleより)

 「最初のペットの名前は?」「好きな食べ物は?」「母親の旧姓は?」――。オンラインサービスのパスワードを忘れて復旧する時のために登録しておくそんな「秘密の質問」は、セキュリティ対策としては「根本的な欠陥」があるという研究結果を米Googleが5月21日に発表した。

 こうした質問は、ユーザーが本人であることを確認して不正ログインを防ぐための措置として普及しているが、Googleはその安全性を検証する目的で、Googleアカウントの復旧に使われていた数億件の秘密の質問を分析した。

 その結果、「アカウント復旧の仕組みとしてそれだけで利用するにはセキュリティも信頼性も不十分」という結論に達したという。

 理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられることが分かった(ちなみにその答えは「ピザ」だった)。

 また、韓国では10回試みれば「生まれた街」の質問を39%の確率で、「好きな食べ物」の質問は43%の確率で、それぞれ答えを推定できてしまうことも判明。それぞれの国で特定の名前の人が多かったり、好きな食べ物が偏ったりしているという事情から、同じ答えを登録しているユーザーが多数を占めることが原因だった。

 しかし、セキュリティを強化するために質問を難しくして、例えば「母が小学校に入学した場所」「図書館カードの番号」などの質問を使った場合、ユーザーが答えを覚えていられる確率は減る。質問を2つにした場合も、ユーザーが2つとも答えを覚えていられる確率は59%にとどまったという。

 この調査結果を受けてGoogleではWebサイトの運営者に対し、アカウント復旧のためのユーザー認証の手段として携帯電話のSMSでバックアップコードを送信したり、2つ目の電子メールアドレスを登録してもらうなど、他の認証方法を併用する必要があると呼び掛けている。

関連キーワード

質問 | Google | 秘密 | 認証


Copyright © ITmedia, Inc. All Rights Reserved.