Google社が、パスワードを忘れた場合などの認証方法として「秘密の質問」を使用することに疑問を呈しています。
ユーザはアカウント登録時に、「好きな食べ物は?」「母親の旧姓は?」といった、質問が用意され、あらかじめ回答しておきます。
パスワードを忘れた場合などに、これらの質問の回答が、あらかじめ回答した内容と一致した場合に、本人として確認できたとされます。
これが「秘密の質問」の機能です。
しかしながらこの「秘密の質問」は、安全でなくまた本人確認として信頼できるものでない、とGoogleは、いくつかの統計調査結果によって、結論付けています。
例えば、以下のような結果が公開されています。
・英語の話者に対する「好きな食べ物は?」の回答を、攻撃者が1回で正答できた確率は19.7%
・韓国語の話者に対する「生まれた都市は?」の回答を、攻撃者が10回以内に正答できた確率は39%
・「図書カードの番号は?」の回答を、本人が回答できた確率は22%
・アメリカにおける調査で「父親のミドルネームは?」の回答を、本人が回答できた確率は76%
たとえ攻撃者にとって推測が難しいものであったとしても、質問の内容によっては、家族や友人はすぐに答えがわかってしまう場合には、本人認証としての機能がない、と言わざるをえません。
推測が容易であったり、本人であるのにも関わらず本人認証ができなくなったりする確率が一般的に高いという点で、「秘密の質問」の機能は有用性に欠けると言えるかもしれません。
パスワードを忘れた際の本人認証方法としては、メールアドレスへセキュリティコードを送信するなどの方がより安全となります。
「秘密の質問」が提供サービス内で使用されている場合には、SMSによる認証などへの切り替えをご検討下さい。
参照:
New Research: Some Tough Questions for 'Security Questions'
http://googleonlinesecurity.blogspot.jp/2015/05/new-research-some-tough-questions-for.html
「秘密の質問」はどこまで有効か
http://www.is702.jp/news/1795/
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- 認証・パスワード管理
