「秘密の質問」は認証方法として有用か?

Google社が、パスワードを忘れた場合などの認証方法として「秘密の質問」を使用することに疑問を呈しています。

ユーザはアカウント登録時に、「好きな食べ物は?」「母親の旧姓は?」といった、質問が用意され、あらかじめ回答しておきます。
パスワードを忘れた場合などに、これらの質問の回答が、あらかじめ回答した内容と一致した場合に、本人として確認できたとされます。
これが「秘密の質問」の機能です。

しかしながらこの「秘密の質問」は、安全でなくまた本人確認として信頼できるものでない、とGoogleは、いくつかの統計調査結果によって、結論付けています。

例えば、以下のような結果が公開されています。
・英語の話者に対する「好きな食べ物は?」の回答を、攻撃者が1回で正答できた確率は19.7%
・韓国語の話者に対する「生まれた都市は?」の回答を、攻撃者が10回以内に正答できた確率は39%
・「図書カードの番号は?」の回答を、本人が回答できた確率は22%
・アメリカにおける調査で「父親のミドルネームは?」の回答を、本人が回答できた確率は76%

たとえ攻撃者にとって推測が難しいものであったとしても、質問の内容によっては、家族や友人はすぐに答えがわかってしまう場合には、本人認証としての機能がない、と言わざるをえません。

推測が容易であったり、本人であるのにも関わらず本人認証ができなくなったりする確率が一般的に高いという点で、「秘密の質問」の機能は有用性に欠けると言えるかもしれません。

パスワードを忘れた際の本人認証方法としては、メールアドレスへセキュリティコードを送信するなどの方がより安全となります。
「秘密の質問」が提供サービス内で使用されている場合には、SMSによる認証などへの切り替えをご検討下さい。

参照:
New Research: Some Tough Questions for 'Security Questions'
http://googleonlinesecurity.blogspot.jp/2015/05/new-research-some-tough-questions-for.html

「秘密の質問」はどこまで有効か
http://www.is702.jp/news/1795/