「秘密の質問」はセキュリティ対策として欠陥あり

security-150126

突然だが想像してみてほしい。
多くの人が感じていた「秘密の質問」への不安さは、やはり間違いではなかった。

オンラインサービスのパスワードを忘れたときの対策として登録を求められることがある「秘密の質問」はセキュリティ対策として「根本的に欠陥がある」という研究結果をGoogleが発表しました。

「秘密の質問」は「母親の旧姓は?」「卒業した小学校は?」「最初のペットの名前は?」「好きな食べ物は?」などという質問のに対し、利用者本人しか知りえない答えを登録しておくことで、本人確認を実施し不正ログインを防ぐための措置として普及しています。

しかし、Googleによる安全性の検証を目的としたGoogleアカウントの復旧に使用されている数億件の「秘密の質問」を分析したところ、「アカウント復旧の仕組みとして、秘密の質問だけで運用するにはセキュリティも信頼性も不十分」という結論に達しました。

スポンサーリンク

「秘密の質問」がセキュリティ対策上、不十分な理由

「秘密の質問」がセキュリティも信頼性も不十分であるとされる理由のひとつは、答えが簡単に分かってしまうことです。

たとえば、アメリカ人の「好きな食べ物は?」という質問に対する答えについて、1回目の推測で「ピザ」という最も多い答えが19.7%の確率で言い当てられることがわかりました。

スペイン語圏での「父親のミドルネームは?」の質問には、10回の回答機会があれば21%の確率で正解され、韓国でも同じく10回試みることで「生まれた街は?」の質問が39%の確率で言い当てられ、「好きな食べ物は?」の質問には43%の確率で正しい答えが推定されてしまうことが判明しています。

各国で特定の名前を持つ人が多かったり、好きな食べ物が偏るという事情から、同じ答えを登録しているユーザーが多数を占めることが原因だと考えられます。

「秘密の質問」を難しくすると…

しかし、セキュリティを強化するために「秘密の質問」を難しく設定し、たとえば「母が入学した小学校は?」「図書館カードの番号は?」などの質問を使用した場合、ユーザーが答えを覚えていられる確率は減り、アメリカでは「マイレージの会員番号は?」の質問に対し、正しく回答する人の率は9%にしかなりません。

また質問を2つにした場合も、ユーザーが2つの答えを覚えている確率は59%に留まります。

「秘密の質問」は簡単すぎることでセキュリティ上の問題となりますが、複数の質問を設定したり、難しい質問にしてしまうことで本人すら答えを思い出せないのでは意味がありません。

調査結果を受けてGoogleではWebサイトの運営者に対し、アカウントを復旧するためのユーザー認証の手段として、携帯電話のSMSでバックアップコードを送信したり、2つ目の電子メールアドレスを登録してもらうなど、他の認証方法を併用する必要があると呼び掛けています。

スポンサーリンク

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です