本人も答えられない - 効果が低い「セキュリティの質問」- Googleレポート

米Googleの調査によると、オンラインサービスのセキュリティを高める目的で用いられている「セキュリティ質問」はサービス提供側やユーザーが期待するような効果を発揮していない。

セキュリティの質問は、パスワード変更時などパスワードを使わずに本人を確認するために使用されている。第3者には答えにくく、しかし本人は確実に答えられるものが望ましいが、それら2つの両立は難しい。容易に覚えられる答えは安全性が低く、本人以外が答えられないような質問にすると本人も答えられなくなる可能性が高まる。

例えば、「あなたの好きな食べ物は?」というセキュリティ質問だと、英語ユーザーでは「ピザ」という答えが19.7%を占める。これでは攻撃者が容易に当てられる。スペイン語ユーザーに対する「あなたの父親のミドルネームは?」という質問は10回の予想で当たる確率が21%、韓国語を話すユーザーに対する「あなたが生まれた都市は？」という質問が10回の予想で当てられる確率は39%である。

攻撃者に当てられにくい質問にすると、本人の正答率も下がってしまう。例えば、「あなたの図書館カードの番号は？」の正答率は22%、「あなたのマイレージアカウントの番号は?」