「母親の旧姓は?」「ペットの名前は?」「好きなアーティストは?」――――
こんな質問、一度は見たことあるでしょう。
そうです。なにかにログインするときに必要なパスワードを忘れてしまったときの「秘密の質問」です。
そんな「秘密の質問」ですが、深刻な脆弱性(弱点)が見えてきました。
今でもけっこう見かける「秘密の質問」
「パスワードを忘れた方はコチラ」 ウェブサービスなどのログイン画面で見かける文言ですね。
そこをクリックすると、聞かれるのが「秘密の質問」。今でもよく見かけます。
事前に設定した「秘密の質問」に正解できれば、パスワードを再発行してくれるというものですが、「自分にしか答えられないから大丈夫!」なんて油断している方も多いのではないでしょうか。
このどこでも見かけるおなじみのページですが、あなたの設定した答えによっては危険が潜んでいる可能性があるのです。
そもそも「秘密の質問」ってなぜ必要なの?
「秘密の質問」がよく問われる状況といえば、やはり「ログインするためのパスワードを忘れてしまったとき」でしょう。
パスワード再発行を依頼したのが”パスワードを設定した本人”かどうかを確認する、いわゆる「二段階認証」のひとつです。
その人しか答えを知らないであろう質問をぶつけて、正解できれば本人で間違いない。
Googleも、Googleアカウントの復旧の際に採用しています。そのGoogleがついこの間、安全性を検証する目的で、数億件の秘密の質問を分析しました。すると「セキュリティも信頼性も不十分」という結論になったそうです。Googleの分析記事はこちら(http://googleonlinesecurity.blogspot.jp/2015/05/new-research-some-tough-questions-for.html)
「セキュリティとして不十分」その理由とは―――
理由の1つとしては「答えが簡単に分かってしまうこと」。たとえば、アメリカ人の「好きな食べ物は?」という質問を設定した人のうちの19.7%、およそ5人に1人が「ピザ」と設定していたそうです。
また、韓国では「生まれた街は?」という質問に対し39%の確率で、「好きな食べ物は?」の質では43%の確率で正解を言い当てられてしまうそうです。たしかに、どちらの質問も、国の風習を考えればすぐに分かりそうな気もしますね。
しかし、単純に「絶対に自分しか答えが分からない質問を選べばいい」というわけでもないようです。
質問の答え、思い出せますか?
「この質問なら自分以外には誰にもわからないだろう。」
セキュリティ対策のために、こんな質問を設定した結果、「あれ、この答えなんだっけ?」ってなったことありませんか?
たしかに「母親の出身校」や「図書館カードの番号」など質問を設定すれば、他人に答えを当てられる確率は減ります。しかし、それと同時に設定した本人が覚えていられる確率も下がってしまいます。
では、一体なにをどうすればいいのでしょうか?
別の「二段階認証」を用いる――「SMS」「メール認証」「OTP」
解決策のひとつとして、「SMS」「メール認証」「OTP」といった、「別の二段階認証を用いる」という方法があります。
SMSはショートメッセージサービスの略で、「ショートメール」「Cメール」「スカイメール」と呼べばピンと来る方もいらっしゃるのではないでしょうか。この機能を使って、発行からごく短い時間しか使えないパスワードを発行する、という方法があります。
メール認証は、端末とIPアドレス(パソコンの住所みたいなもの)を紐付けて、いつもと違うIPアドレスから接続された場合、それを探知して、「本当にご本人ですか?」というような内容の登録されたメールアドレスに届きます。もし、自分が接続していないときにメールが来たら、不正にアクセスを図ろうとされていることが分かる、という仕組みです。
最後のOTPはワンタイムパスワードの略で、SMSと似たような機能を持っています。「OTPトークン」というデバイスに短時間だけ有効な6桁のパスワードを発行するというものです。最近ではオンラインゲームのログインによく使われています。
最悪の場合、金銭的な実害も……
いかがでしたでしょうか?「二重なんだから大丈夫」と思っていた方も少し「もしかしたら危ないかも…」と不安に思っていただけましたでしょうか?
なぜセキュリティ対策についてお話ししたのかといいますと、最近立て続けにアカウントハック、いわゆる”乗っ取り”の被害にあっている友人が多くてですね…。
ある友人はメールのアカウントを乗っ取られ、ある友人はクレジットカードを無断使用される、といったような実害が出ています。
自分は今まで乗っ取りの被害にあったことはないですが、それもパスワードを「使いまわさない」「定期的に変える」など、セキュリティ対策を意識しているからでしょうか。
これから夏に向けて新しい服を買うなど、いろいろと新調する際にクレジットカードで決済する方も多いと思います。でもそのカードの暗証番号、作ってから一度でも変えましたか?
変更の際には以下の4点を意識してみてください。
・パスワードを設定してから長期間、経過していないか
・パスワードを他のサービスと使いまわしていないか
・パスワード自体が短すぎないか(可能であれば8字以上)
・英数字を織り交ぜているか
中でも「英数字を織り交ぜているか」を取り入れるだけでも、1ケタにつき英字26字(A-Z)+数字10字(0-9)の36字、
それがケタ数だけバリエーションが増えるので、かなり強固なものになります。
「覚えるのが大変」「どれがどれかわからなくなるから、全部一緒でいいよ」なんて思わないで、ぜひこの機会にパスワードの見直しを!
