「秘密の質問」は安全じゃない? - Googleが研究結果を発表

「あなたのお母さんの旧姓は?」など、ログイン時にパスワードと共に、本人確認の強化の目的で「セキュリティ・クエスチョン」を要求するWebサービスが増えている。もともと、銀行などで本人確認を行う際などに使われてきた方法だが、インターネットが普及してからはオンラインでのパスワードリセット時の本人確認のためなどにも使われるようになっている。

しかしこの方法は、セキュリティの強化の目的という面ではほとんど効果を持っていない可能性があることが、Googleが5月21日(米国時間)、「Google Online Security Blog: New Research: Some Tough Questions for ’Security Questions’」に発表した記事で明らかになった。

記事では、研究結果を引き合いに出して割合などを示している。簡潔にまとめると、「答えやすくて覚えやすいアンサーは推測されやすい」「答えにくいアンサーは使いにくいし覚えていられない」「セキュリティ・クエスチョンの回数を増やすとユーザ自身がクリアできなくなってくる」といったことが説明されている。こうした理由から、セキュリティを高めるという点で確実な方法とは言えないとしている。