「秘密の質問」は、実は狙われやすい!? Google研究結果でわかった“特に危ない質問”とは
Googleでもかつては「秘密の質問」を使い、アカウントを復旧できるようにしていたが、2012年から段階的に廃止した。そしてGoogleは昨年、「秘密の質問」に関する研究結果を発表した。
実は、この「秘密の質問」はセキュリティとしてはリスクが大きい。パスワードがわからなくても、その人のメールアドレスと「秘密の質問」の回答がわかれば、誰でも不正アクセスできてしまうからだ。「好きな食べ物は?」や「お母さんの旧姓は?」といった項目を登録したことがある人は多いだろう。SNSや各種のコミュニケーションツールに登録していると、母親の旧姓がバレる可能性が出てくる。英語圏のユーザーでは「好きな食べ物は?」の回答を一発で見破られる可能性は19.7%と高い。もちろん回答は「ピザ」だ。韓国であれば、10回チャレンジすれば、好きな食べ物を当てられる可能性は43.2%にもなる。
「生まれた都市は?」という質問は、英語圏では10回チャレンジで成功率は6.9%と低いが、韓国なら39%と跳ね上がる。電話番号やマイレージ番号を聞く質問だと可能性は低くなるが、逆にこれらの答えとして本当の番号を設定せず、ウソの番号を登録している人が37%もいる。そして、そのウソの番号は実は推測されやすく、突破されてしまう可能性が高くなるのだ。
では、難しい質問にするとどうだろう。「生まれた都市は?」という質問では80.1%の人が認証に成功している。しかし、「最初に持った電話番号は?」では55.2%、「図書館の貸出カード番号は?」では22.5%しか成功しない。つまり、不正アクセスも防げるが、アカウントを復旧できなくなってしまう人も増えるのだ。
もし「秘密の質問」を登録しているウェブサービスがあるなら、チェックすることをお勧めする。可能であれば、「秘密の質問」は削除してしまおう。携帯電話番号やSMS、メールアドレスで認証する方法を選んだほうがいい。「秘密の質問」が必須の場合は、絶対に推測されない回答にしよう。好きな食べ物なら今までで一番まずかったものとか、母親の旧姓なら初恋の人の名字とか、SNSで公開していない情報にしておくといいだろう。
初めて行った国なんかも突破できそうだなと思った。
なお自分はそもそもどの質問形式を選んだのか忘れる模様。


3秒で破られる!危険なパスワード
で、どのくらい危険なのか調べてみたんです。すると…独立行政法人 情報処理推進機構発表の「コンピュータウイルス・不正アクセスの届出状況(2008年9月分)について」によると、小文字または大文字のみの英字4桁の場合、パスワードの解読にかかる時間は最短でたったの約3秒!
「解読されにくいパスワードを作るには、意味のある英単語を避け、英数字、#、$などの記号をまぜ、桁数をできるだけ長くすること」
と教えてくれたのはNPO日本ネットワークセキュリティ協会(JNSA)セキュリティ被害調査WGメンバーのみなさん。先の資料によれば大文字、小文字の英字、数字、記号を組み合わせて8桁にすると最大解読時間は約1000年にまで伸びるとか。調査から3年以上経過して、コンピュータの性能がUPしていることも考えれば、解読時間はもっと短くなっているかもしれません。それでも複雑で長くするほど解読されにくいのは確か。さらに、金融関連、SNS、PCログインなど用途別に異なるパスワードを使うのもポイントだとか。
でも、それではパスワード自体が覚えられなくなりそう…。
「絶対忘れない歌詞の区切り文字をつなげて作るなんて方法も。パスワード管理ソフトもそれ自体のログインパスワードをきちんと管理すれば安全で便利です」
そしてもうひとつ、盲点になりがちなのがスマホ。スマホ自体にログインパスワードをかけるのはもちろん、アプリにIDやパスワードを残さず、自動ログイン設定をしないなどの対策が必要とのこと。
パス忘れまくって再請求しまくりやで!


tag : パスワード