Web関連

あの定番セキュリティ対策に根本的な脆弱性!? 実は危険な「秘密の質問」

0

「母親の旧姓は?」「ペットの名前は?」「好きなアーティストは?」――――
こんな質問、一度は見たことあるでしょう。
そうです。なにかにログインするときに必要なパスワードを忘れてしまったときの「秘密の質問」です。
そんな「秘密の質問」ですが、深刻な脆弱性(弱点)が見えてきました。

今でもけっこう見かける「秘密の質問」

himitsuokamura_15062001.gif

「パスワードを忘れた方はコチラ」 ウェブサービスなどのログイン画面で見かける文言ですね。
そこをクリックすると、聞かれるのが「秘密の質問」。今でもよく見かけます。
事前に設定した「秘密の質問」に正解できれば、パスワードを再発行してくれるというものですが、「自分にしか答えられないから大丈夫!」なんて油断している方も多いのではないでしょうか。
このどこでも見かけるおなじみのページですが、あなたの設定した答えによっては危険が潜んでいる可能性があるのです。

そもそも「秘密の質問」ってなぜ必要なの?

「秘密の質問」がよく問われる状況といえば、やはり「ログインするためのパスワードを忘れてしまったとき」でしょう。
パスワード再発行を依頼したのが”パスワードを設定した本人”かどうかを確認する、いわゆる「二段階認証」のひとつです。
その人しか答えを知らないであろう質問をぶつけて、正解できれば本人で間違いない。
Googleも、Googleアカウントの復旧の際に採用しています。そのGoogleがついこの間、安全性を検証する目的で、数億件の秘密の質問を分析しました。すると「セキュリティも信頼性も不十分」という結論になったそうです。Googleの分析記事はこちら(http://googleonlinesecurity.blogspot.jp/2015/05/new-research-some-tough-questions-for.html)

「セキュリティとして不十分」その理由とは―――

理由の1つとしては「答えが簡単に分かってしまうこと」。たとえば、アメリカ人の「好きな食べ物は?」という質問を設定した人のうちの19.7%、およそ5人に1人が「ピザ」と設定していたそうです。
また、韓国では「生まれた街は?」という質問に対し39%の確率で、「好きな食べ物は?」の質では43%の確率で正解を言い当てられてしまうそうです。たしかに、どちらの質問も、国の風習を考えればすぐに分かりそうな気もしますね。

しかし、単純に「絶対に自分しか答えが分からない質問を選べばいい」というわけでもないようです。

質問の答え、思い出せますか?

「この質問なら自分以外には誰にもわからないだろう。」
セキュリティ対策のために、こんな質問を設定した結果、「あれ、この答えなんだっけ?」ってなったことありませんか?
たしかに「母親の出身校」や「図書館カードの番号」など質問を設定すれば、他人に答えを当てられる確率は減ります。しかし、それと同時に設定した本人が覚えていられる確率も下がってしまいます。

では、一体なにをどうすればいいのでしょうか?

別の「二段階認証」を用いる――「SMS」「メール認証」「OTP」

解決策のひとつとして、「SMS」「メール認証」「OTP」といった、「別の二段階認証を用いる」という方法があります。
SMSはショートメッセージサービスの略で、「ショートメール」「Cメール」「スカイメール」と呼べばピンと来る方もいらっしゃるのではないでしょうか。この機能を使って、発行からごく短い時間しか使えないパスワードを発行する、という方法があります。
メール認証は、端末とIPアドレス(パソコンの住所みたいなもの)を紐付けて、いつもと違うIPアドレスから接続された場合、それを探知して、「本当にご本人ですか?」というような内容の登録されたメールアドレスに届きます。もし、自分が接続していないときにメールが来たら、不正にアクセスを図ろうとされていることが分かる、という仕組みです。
最後のOTPはワンタイムパスワードの略で、SMSと似たような機能を持っています。「OTPトークン」というデバイスに短時間だけ有効な6桁のパスワードを発行するというものです。最近ではオンラインゲームのログインによく使われています。

最悪の場合、金銭的な実害も……

いかがでしたでしょうか?「二重なんだから大丈夫」と思っていた方も少し「もしかしたら危ないかも…」と不安に思っていただけましたでしょうか?

なぜセキュリティ対策についてお話ししたのかといいますと、最近立て続けにアカウントハック、いわゆる”乗っ取り”の被害にあっている友人が多くてですね…。
ある友人はメールのアカウントを乗っ取られ、ある友人はクレジットカードを無断使用される、といったような実害が出ています。
自分は今まで乗っ取りの被害にあったことはないですが、それもパスワードを「使いまわさない」「定期的に変える」など、セキュリティ対策を意識しているからでしょうか。

これから夏に向けて新しい服を買うなど、いろいろと新調する際にクレジットカードで決済する方も多いと思います。でもそのカードの暗証番号、作ってから一度でも変えましたか?
変更の際には以下の4点を意識してみてください。

・パスワードを設定してから長期間、経過していないか
・パスワードを他のサービスと使いまわしていないか
・パスワード自体が短すぎないか(可能であれば8字以上)
・英数字を織り交ぜているか

中でも「英数字を織り交ぜているか」を取り入れるだけでも、1ケタにつき英字26字(A-Z)+数字10字(0-9)の36字、
それがケタ数だけバリエーションが増えるので、かなり強固なものになります。
「覚えるのが大変」「どれがどれかわからなくなるから、全部一緒でいいよ」なんて思わないで、ぜひこの機会にパスワードの見直しを!

0

SNSマーケティング前のページ

面倒な作業を楽にするCSSフレームワーク -実践編-次のページ

ピックアップ記事

  1. 新しい販売形態であるDtoCについて考えてみる
  2. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  3. AIに求められているものは、実は意外な物だった
  4. 新型コロナウイルスで日本の働き方改革が起こる

関連記事

  1. Web関連

    【画像が…小さい…】ファッションECに旋風を巻き起こす!ユーザー視点の新技術…

    どこのどんな商材でもオンラインで購入ができるようになった今、特にアパレ…

  2. Web関連

    3つの事例から考える共創マーケティングとは?

    昨年より共創マーケティングという言葉を良く聞くようになりました。共(と…

  3. Web関連

    【Web制作会社が教える】10分でわかる!?フラットデザイン実践のポイント

    ファッションと同じように、webデザインにも、その時期ごとの流行があり…

  4. Web関連

    コンセプトのないデザインは味のない料理

    新社会人のみなさん、入社おめでとうございます!休みの日は、寝たり食べた…

  5. Web関連

    思い出をショートムービーに残してみた

    "思い出を形に残すこと"を始めてみますこんにちは。最近、ちゃんと朝ご…

  6. Web関連

    ブログ・コラムを毎日更新するWebライティングの5つの秘訣

    今回私がご紹介する内容は「ブログ・コラムを継続させる秘訣」です。なぜ「…

自治体向けDX推進サービス

AIさくらさん for 自治体DX

おすすめ記事

最近の記事

  1. 人間拡張×AIで非接触なデジタル化を推進する
  2. ヘルスケアはAI先生にみてもらう時代
  3. withコロナは非接触技術で生活しよう!
  4. デジタル接客+AIで非接触を推進する
  5. 遠隔診療や遠隔医療普及のポイントはAIと5G

アーカイブ

  1. Web関連

    ユーザーの希望に応える応えるECサイト
  2. AI関連

    【人工知能(AI)×災害対策】AIが希望をつなぐ地震予測の未来
  3. Web関連

    そのオムニチャネル、大丈夫ですか?
  4. Web関連

    国内2大検索エンジンが提携 ついにシェア90%超えか!?
  5. Web関連

    驚くべき3Dプリンターの進化!
PAGE TOP