2015年7月6日 14:29
IPAの今月の呼びかけ(7月) - 「秘密の質問」ではセキュリティを保てない?
IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードを忘れてしまった場合などに使われる「秘密の質問」について注意喚起を行っている。
「パスワードは使い回さない」といったことから、アカウントごとに異なるパスワードを使用することが望ましい。実際、そのようにしているユーザーもいると思う。しかし、その欠点は、使用頻度の低いパスワードは、覚えていられないことである。こうしてパスワードを忘れてしまった場合、多くのサイトではパスワードリマインダといった機能を導入している。この手順であるが以下の通りである。
パスワードの再発行などを申し込む
その際に本人しか知り得ない秘密の質問に答える
新しいパスワードをメールで通知
これとは異なる仕組みもあるが、おおむねこういった手順が使われる。
ここで重要なのは、本人の確認として「秘密の質問」が使われることである。しかし、セキュリティ上、重要な懸念があるとのことである。具体的には、2015年5月にGoogleが発表した内容によると、安全性も信頼性も十分ではないとのことである。
具体的には、米国人にとって「好きな食べ物」