「秘密の質問」がそんなに秘密でない事実:避けるべき質問とその理由
「秘密の質問」がそんなに秘密でない事実:避けるべき質問とその理由
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
しかし、素晴らしいパスワードを設定したそのサイトのパスワードリセットの方法は安全でしょうか?
誰かが、あなたについてネットで検索し、秘密の質問の答えを知ってしまう可能性はないですか?
そんなことになれば、せっかくの努力が台無しです。
先日の記事で、いくつかの認証方式について書きました。
そこで、ユーザ名とパ スワードと共に秘密の質問を使う方法が、結局は単要素認証であることを説明しました。
単要素認証とは、あなたが知っている情報だけに依存した認証方式の ことです。
そのような認証方式を使う場合は、次のような秘密の質問を選ぶ必要 があります:
- 適用できる – あなたの人生のイベントに関係 する。
- 確定している – 回答が一つで、今後変更することがな い。
- 記憶できる – 覚えやすい。
- 安全である – 推測しづらく、あるいは調査が困難で、パ スワードとしても十分に長い。
例えば多くのパスワードの場合、次の質問に対する答えは「はい」でしょう:
- 特殊な文字を含められますか?
- 大文字と小文字を区別していますか?
- 最低文字数が指定されていますか?
- 16文字以上の文字列を指定できますか?
- 入力間違いの数に上限がありますか?
特に最後の項目が「いいえ」だと、誰かがパスワードをリセットしようとした際、正しい答えが見つかるまで何度でも秘密の質問を試せますから、総当たり攻撃によって想像以上に簡単に答えが分かってしまいます。
いくつかの主要なサービスの秘密の質問を見て、良い選択肢を探してみましょう。
この情報は、簡単に検索できるはずです。
親戚に関する他の質問(「What’s the name of your niece/nephew/etc?」)も、同様によくありません。
多くの人は、公の場所でも親戚の話くらいはするものです。
子供のあだ名も家族以外の人がいるところで使いますし、子供自身も気にせず使いますからよくありません。
配偶者あるいは新婚旅行の質問(「Where did you meet your spouse/spend your honeymoon?」)は、あなたしか知らない詳細を含めることができるので、 ちょっとはましです。
最初のデートの喫茶店の名前や、新婚旅行で行った海岸の名前といった具合です。
これが他人に話したことがない情報なら、よい答えと いうことになります。
ただし、その名前が辞書に掲載されている場合はやはり 総当たり攻撃の標的になりますから、別の質問を作った方が得策です。
でも好きな本、好きな ミュージシャン、好きな映画のキャラクタ、など常に答えが一定でない質問ばかりで、ほとんど使い物にならないと思います。
答えを設定してしばらくした ら、好きな本は変わっているかもしれません。
さらに、好きなものについて他人と話すのは普通であり、Facebookに記載した情報からばれてしまう可能性も高いでしょう。
最初の車、最初のペットの名前、といった自分史に関する質問には、うろ覚えの ものも多そうです。
私はもう覚えていません。多くの人でも似たような感じで はないでしょうか。
その他の質問も、ほとんどが公にされている情報です。
育った街の名前も、簡単に検索できるので選んではいけません。
唯一、マイレージ サービスの番号が使えそうです。
いくつかあるマイレージサービスの中から、ど のサービスの番号をメインとして選ぶかは他人には分からないし、それを推測したり、盗み出したりするのも困難でしょう。
15歳を過ぎてまで、小学校の先生の名前を覚えている人っているんでしょうか?
覚えている人がいたら、その記憶力の良さを自慢するために、他人に話したことはないですか?
さらに、同窓生なら、卒業アルバ ムから簡単にこの情報を調べることができるでしょう。
住所関係の質問は、やっ ぱり危険です。
祖父母の仕事もよくありませんが、調べるのは比較的難しいし あまり他人と語り合う話題でもないので少しましです。
最初の項目(子供時代の親 友の名前)は、変化する可能性があるし明確でもありません。
何年も前の先生 や上司の名前を覚えているというのは私に取っては奇跡に思えます。
電話番号 も調べられます。車のナンバーも車を見たすべての人が覚えている可能性があるので、あきれるくらいにダメな質問です。
あなた の図書館カード番号を知っている人は、ほとんどいないでしょうから、番号を持っているなら、これを選ぶべきです。
好きな図書館名と組み合わせられれば、 より安全でしょう。
番号を持っていないなら、もう自分で質問を作った方がましです。
自分で質問を作る場合、いくつかの助言があります:
- 答えは、誰も知らない情報であること。大人になったら 宇宙飛行士になるという、密かな夢を持っていましたか? あなたについて、他 の人が勘違いしていることはありますか?
- 答えの選択肢が限られている質問を選んではいけません。 暗褐色とか、ザリガ ニ色とかでない限り好きな色は選んではいけません。日にちなら少なくとも365の選択肢がありますから、比較的良いでしょう。
- 文字と数字の組み合わせ、あるいは複数の単語からなる答えを選びましょう。しかし、住所や電話番号、誕生日は、公の情報ですから選んではいけません。
- ハッキングの際に、秘密の質問も公開されることがあるので、サイト毎に異なる質問を指定しましょう。秘密の質問はパスワードの一種ですから、複数のサイトで流用してはいけません。
あなたが 発明した答えを、他人が推測したり調べることは困難です。
ただし、答えを発明する際の問題は、それが確定しておらず、記憶し続けるのが難しいということです。
偽の情報を記憶し続ける自身があれば、確かにリスクは低くなります。
上記の助言を念頭に置けば、セキュリティを下げることなく、パスワードを安全にリセットできるでしょう。
こう見ると、秘密の質問も案外とやっかいであるこ とがお分かりいただけたと思います。
いずれは、もっとよい方法を誰かが思いつ くかも知れません。
By Lysa Myers on August 20, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support