「秘密の質問」は認証方法として有用か?

 2023.06.01  三和コムテック

Google社が、パスワードを忘れた場合などの認証方法として「秘密の質問」を使用することに疑問を呈しています。

ユーザはアカウント登録時に、「好きな食べ物は?」「母親の旧姓は?」といった、質問が用意され、あらかじめ回答しておきます。
パスワードを忘れた場合などに、これらの質問の回答が、あらかじめ回答した内容と一致した場合に、本人として確認できたとされます。
これが「秘密の質問」の機能です。

しかしながらこの「秘密の質問」は、安全でなくまた本人確認として信頼できるものでない、とGoogleは、いくつかの統計調査結果によって、結論付けています。

例えば、以下のような結果が公開されています。
・英語の話者に対する「好きな食べ物は?」の回答を、攻撃者が1回で正答できた確率は19.7%
・韓国語の話者に対する「生まれた都市は?」の回答を、攻撃者が10回以内に正答できた確率は39%
・「図書カードの番号は?」の回答を、本人が回答できた確率は22%
・アメリカにおける調査で「父親のミドルネームは?」の回答を、本人が回答できた確率は76%

たとえ攻撃者にとって推測が難しいものであったとしても、質問の内容によっては、家族や友人はすぐに答えがわかってしまう場合には、本人認証としての機能がない、と言わざるをえません。

推測が容易であったり、本人であるのにも関わらず本人認証ができなくなったりする確率が一般的に高いという点で、「秘密の質問」の機能は有用性に欠けると言えるかもしれません。

パスワードを忘れた際の本人認証方法としては、メールアドレスへセキュリティコードを送信するなどの方がより安全となります。
「秘密の質問」が提供サービス内で使用されている場合には、SMSによる認証などへの切り替えをご検討下さい。

参照:
New Research: Some Tough Questions for 'Security Questions'
http://googleonlinesecurity.blogspot.jp/2015/05/new-research-some-tough-questions-for.html

「秘密の質問」はどこまで有効か
http://www.is702.jp/news/1795/
SCT Security Solution Book
Windows Server 2012/2012 R2 は2023年10月にサポートが終了します。
日本語入力ソフト、IME による入力情報の送信 政府が注意喚起

RECENT POST「セキュリティ」の最新記事

病院の情報システム部門が知るべきサイバー攻撃の手法と初動対応とは
セキュリティ

2025.08.12

病院の情報システム部門が知るべきサイバー攻撃の手法と初動対応とは
もっとも身近で危険なアタックサーフェス 「ファームウェア」にご注意を! 
セキュリティ

2025.08.05

もっとも身近で危険なアタックサーフェス 「ファームウェア」にご注意を! 
サイバー攻撃の事例から学ぶ!企業が今すぐ実践すべき対策とは
セキュリティ

2025.08.04

サイバー攻撃の事例から学ぶ!企業が今すぐ実践すべき対策とは
サイバー攻撃の対策方法とは?最新脅威と対策一覧を徹底解説
セキュリティ

2025.08.04

サイバー攻撃の対策方法とは?最新脅威と対策一覧を徹底解説
「秘密の質問」は認証方法として有用か?
ブログ無料購読のご案内
資料ダウンロード イベント・セミナー

人気記事ランキング

  1. Excel(エクセル)を使った業務効率化の事例5選! 注意点も解説
  2. 【無料あり】おすすめのOSINTツール7選|導入メリットや活用例も解説
  3. 労働人口減少による課題をどう乗り切る?今すぐ企業が着手すべき4つの対策
  4. PC作業を自動化できる方法やツールを紹介!
  5. 【実は無料で使えます】Rocket.Chatインストール方法とおススメ設定

おすすめ資料

目次

Copyright ©2025 Sanwa Comtec KK. All rights reserved.

個人情報保護方針 お問い合わせ

PAGETOP