1.秘密の質問とは
サービス提供者があらかじめ用意している
「あなたの母親の旧姓は?」、「あなたのペットの名前は?」等など
「秘密の質問」の中から利用者が質問を選択し、その答えを登録する
パスワード再発行やアカウントへのアクセスに利用される
2.危険性
「秘密の質問」のみで本人確認とすることにはセキュリティ上の懸念が生じる
アカウント復旧の仕組みとして使用するにも、安全性も信頼性も十分ではない
「秘密の質問」の注意点
「質問」によっては、第三者でも「答え」を推測できてしまう
「あなたの母親の旧姓は?」という「質問」の場合
名前ランキングを調べ、姓の入力を繰り返せば
「答え」を当ててしまう可能性がある
「あなたのペットの名前は?」という「質問」の場合
ペットの名前ランキングを調べ、名前の入力を繰り返せば
「答え」を当ててしまう可能性がある
「あなたの生年月日は?」という「質問」の場合
本人のSNSや友人のSNSから、年月日の入力を繰り返せば
「答え」を当ててしまう可能性がある
「好きな食べ物は?」という、「質問」の場合
「ピザ」の答えは、高い確率で「答え」を当ててしまう
攻撃者はWebの様々な場所から個人情報を収集し
答えを見つけ出し、正確に答えていく
3.対応策
「秘密の質問」の使用を避ける
利用しているサービスにおいて複数の本人確認方法を提供していれば
「秘密の質問」以外の方法に変更する、または併用を検討する
ワンタイムパスワードによる二段階認証が可能なら、こちらに切り替える
共通フレーズ(自分しか知らない文字列)と組み合わせて使う
「秘密の質問」に共通フレーズを付加する
組み合わせる文字数や文字種を増やすことで、第三者からの推測を拒む
さらにサービス名の一部と組み合わせると、かなり複雑になる
