Ｄｒａ☆ｍｏｄｅ

　久しぶりに利用するウェブサービスだと、パスワードを忘れているかもしれない。そこで「パスワードを忘れた人はこちら」のリンクをクリックすると、「秘密の質問」が表示されることがある。アカウント作成時に設定したプライバシーにまつわる質問を表示し、正確に答えられたら本人確認ができたと判断し、パスワードをリセットできるようにするものだ。

　Googleでもかつては「秘密の質問」を使い、アカウントを復旧できるようにしていたが、2012年から段階的に廃止した。そしてGoogleは昨年、「秘密の質問」に関する研究結果を発表した。

　実は、この「秘密の質問」はセキュリティとしてはリスクが大きい。パスワードがわからなくても、その人のメールアドレスと「秘密の質問」の回答がわかれば、誰でも不正アクセスできてしまうからだ。「好きな食べ物は？」や「お母さんの旧姓は？」といった項目を登録したことがある人は多いだろう。SNSや各種のコミュニケーションツールに登録していると、母親の旧姓がバレる可能性が出てくる。英語圏のユーザーでは「好きな食べ物は？」の回答を一発で見破られる可能性は19.7％と高い。もちろん回答は「ピザ」だ。韓国であれば、10回チャレンジすれば、好きな食べ物を当てられる可能性は43.2％にもなる。

「生まれた都市は？」という質問は、英語圏では10回チャレンジで成功率は6.9％と低いが、韓国なら39％と跳ね上がる。電話番号やマイレージ番号を聞く質問だと可能性は低くなるが、逆にこれらの答えとして本当の番号を設定せず、ウソの番号を登録している人が37％もいる。そして、そのウソの番号は実は推測されやすく、突破されてしまう可能性が高くなるのだ。

　では、難しい質問にするとどうだろう。「生まれた都市は？」という質問では80.1％の人が認証に成功している。しかし、「最初に持った電話番号は？」では55.2％、「図書館の貸出カード番号は？」では22.5％しか成功しない。つまり、不正アクセスも防げるが、アカウントを復旧できなくなってしまう人も増えるのだ。

　もし「秘密の質問」を登録しているウェブサービスがあるなら、チェックすることをお勧めする。可能であれば、「秘密の質問」は削除してしまおう。携帯電話番号やSMS、メールアドレスで認証する方法を選んだほうがいい。「秘密の質問」が必須の場合は、絶対に推測されない回答にしよう。好きな食べ物なら今までで一番まずかったものとか、母親の旧姓なら初恋の人の名字とか、SNSで公開していない情報にしておくといいだろう。


初めて行った国なんかも突破できそうだなと思った。

なお自分はそもそもどの質問形式を選んだのか忘れる模様。

拍手コメントを見る

tag : 秘密の質問パスワード

ネットショッピングや旅行の予約にツイッター…。今や１日に何度も入力するのが当たり前になったパスワード。でも、けっこう適当に扱っていません？

で、どのくらい危険なのか調べてみたんです。すると…独立行政法人 情報処理推進機構発表の「コンピュータウイルス・不正アクセスの届出状況（２００８年９月分）について」によると、小文字または大文字のみの英字４桁の場合、パスワードの解読にかかる時間は最短でたったの約３秒！

「解読されにくいパスワードを作るには、意味のある英単語を避け、英数字、＃、＄などの記号をまぜ、桁数をできるだけ長くすること」

と教えてくれたのはＮＰＯ日本ネットワークセキュリティ協会（ＪＮＳＡ）セキュリティ被害調査ＷＧメンバーのみなさん。先の資料によれば大文字、小文字の英字、数字、記号を組み合わせて８桁にすると最大解読時間は約１０００年にまで伸びるとか。調査から３年以上経過して、コンピュータの性能がＵＰしていることも考えれば、解読時間はもっと短くなっているかもしれません。それでも複雑で長くするほど解読されにくいのは確か。さらに、金融関連、ＳＮＳ、ＰＣログインなど用途別に異なるパスワードを使うのもポイントだとか。

でも、それではパスワード自体が覚えられなくなりそう…。

「絶対忘れない歌詞の区切り文字をつなげて作るなんて方法も。パスワード管理ソフトもそれ自体のログインパスワードをきちんと管理すれば安全で便利です」

そしてもうひとつ、盲点になりがちなのがスマホ。スマホ自体にログインパスワードをかけるのはもちろん、アプリにＩＤやパスワードを残さず、自動ログイン設定をしないなどの対策が必要とのこと。


パス忘れまくって再請求しまくりやで！

拍手コメントを見る

tag : パスワード