「秘密の質問」は有効な手段ではない - 米Googleが調査を発表

ログオンに利用するパスワードを忘れた際に利用する「秘密の質問」を設定している人も多いだろうが、実際に役に立ったことがどれぐらいあるだろうか? 復旧メカニズムとしての「秘密の質問」の有用性について米Googleが疑問を投げかけている。なんでも、米国ユーザーでもっとも多い質問である「好きな食べ物は?」の回答を1発で見破られてしまう率は、なんと19.7%という。つまり10人中2人のハッカーが命中できるということになる。

Googleは5月21日、「秘密の質問」(Googleでは「セキュリティ保護用の質問」といわれている)についての調査を披露した。秘密の質問は、「ペットの名前は?」「好きな食べ物は?」「お母さんの旧姓は?」などの質問とそれに対する答えを設定することで、パスワードを忘れた際の復旧時に利用できるというものだ。

多くのWebサービスで利用されている手法だが、Googleによると、その安全性と効力についてはあまり研究されていなかったという。そこで、Googleサービスでユーザーが実際に設定している数千件もの秘密の質問を分析、ハッカーが回答を推測できる可能性を調べた。この結果を「Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google」