- 2015年5月25日
- セキュリティについて
「秘密の質問」が突破される確率は?
どうも、コンニチハ『まにお』です。
オンラインサービスに登録した際に、一緒に登録する「秘密の質問」。
「子どものころの夢は?」とか「初めて飼ったペットの名前は?」などありますよね。
そんな「秘密の質問」がキュリティ対策としては「根本的な欠陥」があるとGoogleが発表しました。
ユーザーが本人であることを確認して不正ログインを防ぐための措置として普及しているが、Googleはその安全性を検証する目的で、Googleアカウントの復旧に使われていた数億件の秘密の質問を分析した。
その結果、「アカウント復旧の仕組みとしてそれだけで利用するにはセキュリティも信頼性も不十分」という結論に達したという。
(IT media)
理由としては、「答えが簡単に分かってしまう」らしいです。
アメリカでいうなら「好きな食べ物」の答えの約2割が「ピザ」であったり、韓国では「生まれた街」の質問を39%の確率で、「好きな食べ物」の質問は43%の確率であてられてしまうんだとか。
それぞれの国ごとで偏った答えが存在しているみたいです。
ただ、セキュリティを意識して質問を難しくしたり、複数にしたりすると逆に約半数の人が忘れてしまうのだそうです。
その結果を受けて、Googleはサイト運営者に対して、アカウント復旧方法の多様化を求めております。
例えば携帯電話やSMSでバックアップコードを送信したり、別のメールアドレスを登録させたりと、いう方法です。
まあ確かにユーザーの認証方法を複雑にする方法は有効だと思いますが、あまりにも複雑や手間がかかる方法を適用するとユーザーが離れていくことにもつながりかねません。
セキュリティー強度とユーザビリティのバランスが重要になってきそうですね。