アカウント復旧など緊急時の個人認証手段であるApple IDのセキュリティ質問などとして広く使われている、いわゆる「秘密の質問」。
Internet Watch記事より |
予てより「状況によっては秘密とはとても言い切れないのでは?」と危惧していたのだが、マイナビニュースの記事によるとGoogleから
容易に覚えられる答えは安全性が低く、本人以外が答えられないような質問にすると本人も答えられなくなる可能性が高まる。という内容の分析結果が発表された模様。
ITmediaの記事によると
理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられることが分かった(ちなみにその答えは「ピザ」だった)。との事だ。日本人だと"ラーメン"、"カレー"、"すし"あたりが「ありがち」だろうか。そうでなくても、知人であれば高確率で推測可能だったりするのは指摘している通りだ。
しかし、セキュリティを強化するために質問を難しくして、例えば「母が小学校に入学した場所」「図書館カードの番号」などの質問を使った場合、ユーザーが答えを覚えていられる確率は減る。質問を2つにした場合も、ユーザーが2つとも答えを覚えていられる確率は59%にとどまったという。という事だが、上の場合でも"ラーメン"ではなく、"とんこつラーメン"とか"元祖長浜屋"とか少し捻った設定する事もできるが、いざという時にうっかり"ラーメン"と答えると認証されない事になる。また、"すし"に対して"スシ"や"おすし"などの"ゆらぎ"が同一視されない場合も弾かれる事になるので「確実に答えられる」という観点で適当とは言い難く、「秘密の質問」なんていうのはさっさと葬り去って、第2メールアドレスやSMSなどの予備インタフェースを使った認証に切り替えるべきだ。
【6/2追記】INTERNET Watchの続報によると「秘密の質問にあえて嘘の答えを設定するケース」に関する報告もあるらしい。
メディアの報道で紹介されているのは論文の一部だけであり、実際にはかなり細かくいろいろな調査を行った結果がまとめられています。トータルで150ページにも及ぶ論文なのですべてに目を通すことはできないかもしれませんが、個々のグラフや表を見るだけでも「なるほど」「面白い」と思える論文です。興味のある方はぜひ。との事。Lessons from the Use of Personal Knowledge Questions at Googleから読めるのは141~150の10ページ分しかないですが!?
【7/10追記】Google Developer Japan Blogに日本語訳掲載。
【参照】
●Internet Watch http://internet.watch.impress.co.jp/
┣実は危険な“秘密の質問”、Googleが研究結果を発表 2015年5月22日
┗【海の向こうの“セキュリティ”】 「秘密の質問」に嘘の答えを設定する理由/Akamai、DDoS攻撃等に関する2015年第1四半期レポート 2015年6月2日
●ITmedia ニュース http://www.itmedia.co.jp/news/
┗「秘密の質問」が突破される確率は? Googleが調査 2015年5月22日
●マイナビニュース http://news.mynavi.jp/
┣Googleの2段階認証アプリ「Google Autehnticator」をWindowsで使う方法 2015年4月17日
┗本人も答えられない - 効果が低い「セキュリティの質問」- Googleレポート 2015年5月22日
●ZDNet Japan http://japan.zdnet.com/
┗パスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかに
●Google Developer Japan Blog http://googledevjp.blogspot.com/
┗新リサーチ: 「秘密の質問」を問い直す 2015年7月8日
●Google Online Security Blog http://googleonlinesecurity.blogspot.com/
┗Some Tough Questions for ‘Security Questions’ 2015年5月21日
●Research at Google http://research.google.com/
┗Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google 2015年5月21日
●Wikipedia http://en.wikipedia.org/wiki/
┗Security question