IPAの今月の呼びかけ(7月) - 「秘密の質問」ではセキュリティを保てない?

IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードを忘れてしまった場合などに使われる「秘密の質問」について注意喚起を行っている。

「パスワードは使い回さない」といったことから、アカウントごとに異なるパスワードを使用することが望ましい。実際、そのようにしているユーザーもいると思う。しかし、その欠点は、使用頻度の低いパスワードは、覚えていられないことである。こうしてパスワードを忘れてしまった場合、多くのサイトではパスワードリマインダといった機能を導入している。この手順であるが以下の通りである。

パスワードの再発行などを申し込む
その際に本人しか知り得ない秘密の質問に答える
新しいパスワードをメールで通知

これとは異なる仕組みもあるが、おおむねこういった手順が使われる。ここで重要なのは、本人の確認として「秘密の質問」が使われることである。しかし、セキュリティ上、重要な懸念があるとのことである。具体的には、2015年5月にGoogleが発表した内容によると、安全性も信頼性も十分ではないとのことである。

具体的には、米国人にとって「好きな食べ物」