【IT論考β】 秘密の質問の答えは自分にも秘密にしてしまえ?![#371]

IT

■ ネット上のサービスでID登録を
  するとよくあるのが、
  
  パスワードを忘れたとき用の
  秘密の質問
  
  なる項目です。
  
  
  万一、パスワードがわからなく
  なっても、
  
  秘密の質問に正しく回答できれば
  本人として認めるというもの。
  
  
■ これはセキュリティ上の穴に
  なる可能性が高いので要注意です。
  
  秘密の質問とはいえ、その気に
  なれば質問自体は第三者でも閲覧
  することは可能です。
  
  (適切なIDを知っていれば
   見られるケースも多いのです)
   
   
  質問が分かれば、内容にも
  よりますが、その回答を
  調べるのはさほど難しくは
  ありません。
  
  
  よくある「母親の旧姓は?」
  なんて本人以外でも簡単に
  わかることでしょう。
  
  
  したがって、秘密の質問は
  あまり「秘密」になり得ないのです。
  
  
  これに対応するためには

  質問を読んでも第三者が想定できない
  解答を設定してしまう
  
  というのがひとつの解決策です。
  
  つまり、解答自体がある種の
  パスワードになります。
  
  
  さらに万全を期すのであれば
  自分も覚えられない乱数列でも
  設定すればよいでしょう。
  
  もちろん、パスワードを忘れた
  ときの普及手段は失います。
  
  しかし、他人に攻撃されることの
  リスクが大きいのであれば、
  
  パスワードを忘れたときの抜け道を
  残しておくのはリスクです。
  
  
  (それだけ重要な情報の
   パスワードなら忘れないでしょう…)
   
   
■ 少々過激な解決策ですが
  セキュリティに万全を期したい方は
  お試しあれ…。
  
  
 今日の【まとめ】
 ■ 秘密の質問はあまり「秘密」ではない
 ■ セキュリティ上の穴になり得ることも
 ■ 解答自体を無意味なものにするのも手 

タイトルとURLをコピーしました