IPAの今月の呼びかけ(7月) - 「秘密の質問」ではセキュリティを保てない?

さらにIPAでは、パスワード同様に第三者に推察されにくいもの「答え」に設定する必要があると、注意喚起する。

○ユーザーが行うべき対策

IPAでは、まず「秘密の質問」以外に、ワンタイムパスワードなどの二段階認証などがないかを確認するように推奨する。状況によっては、「秘密の質問」以外の方法を採用する、もしくは併用することで、万が一の事態でもなりすましなどを防ぐ対策を講じることである。

そして、「秘密の質問」を使い続けるのであれば、「答え」に本人しか知らない「共通フレーズ」を追加するように推奨している。

実際に、その例が図3である。「カモしれない」という共通フレーズを追加することで、第三者による推察を困難にしている。パスワード同様、あまり複雑な「答え」にしてしまうと覚えることが困難になってしまう。そこでこのような対策が有効な方法として考えられるだろう。

しかし、異なるサービスで同じ質問を選択すると、「答え」もすべて同じものとなってしまう。そこで、サービスごとに異なる識別情報を追加することで、セキュリティを高める方法もある。具体的には、図3の「みかんカモしれない」であれば、識別情報の「アイピイエイ」