- ベストアンサー
”秘密の質問と答え”の有効性について
webで登録などをしますと”秘密の質問と答え” を設定することが多いと思います。 私は仕事柄、セキュリティに関わることがあるのですが この有効性がいまひとつ、理解できません。 ただ、海外でも日本でも広くこのセキュリティが 使われていることからも、大きな有効性が あるのかと思います。 それらの有効性の説明か、それらの有効性を 説明しているサイト、書籍がありましたら 教えていただけませんか? ワンタイムパスワード生成カードや やPKIなどセキュリティの技術は一見、 利用者には複雑なだけで ”なぜ、こんな複雑なことが必要なの? パスワードだけでは足りないのか?”といった 疑問が湧くと思います。私にとって まさに掲題の技術はそれにあたります。 質問と答えを設定してますが、これは主に パスワードなどを忘れた際に使われるようで 「母方の旧姓は?」「ペットの名前は?」など 本人なら即答できるような質問が用意されている 見たいです。ただ、本人が即答できるような これらの答えは、近い人間なら知りえる内容 ですし、遠い人間でも本気になれば調べられます。 問題は、”秘密の質問と答え”がパスワードを 忘れた際などに使われるという点で(私の 勝手なイメージかもしれませんが) 第3者がこれらを類推して解除できてしまうのでは ないかと思う点です。確かに、質問はどれを 設定したかわかりませんが、あらかじめいくつかの 質問を用意しているのでそれら全部を調べ上げれば 解除はそれほど難しくないと思います。 自分自身はこれらを登録しても実際に使ったことは ありません。webなどで登録するとき、毎回 ”これはなんに使うんだ?なんの役に立つんだ?” と疑問でなりません。 よろしくお願いします。
- htc1014331
- お礼率35% (213/595)
- ネットワーク
- 回答数4
- ありがとう数1
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは。 「パスワードリマインダー」、「脆弱性」などのAND検索で調べてみるのがいいんじゃないでしょうか。 まあ、利便性とセキュリティーの両立を考えたものなんでしょうけど、 実際は簡単に類推が効いてしまったり、「辞書攻撃」もありますからねぇ。 以前、PC雑誌の「ネットランナー」にWEBメールのパスワードリマインダーの 脆弱性のサービス事業者比較の記事が出てました。
その他の回答 (3)
- nbd00115
- ベストアンサー率18% (116/632)
複数のパスワードと考えれば良いのではないでしょうか。 どちらがどうということではなく。 セキュリティ上は、弱点にもなりますけどね。
- hijyousyudan
- ベストアンサー率12% (342/2653)
#1です。 セキュリティー的に有効かどうかは、 ちょっと疑問ですが、 何回か秘密の質問で助けられてますので、 機能的には優れものだと思いますよ(^^;
- hijyousyudan
- ベストアンサー率12% (342/2653)
それはパスワードと同じで、 真正直なものにすると調べられてしまいます。 ですから、 「母親の旧姓は?」=ビートたけし とか捻りが必要ですね。 数字やアルファベットとは違って、 日本語で登録したものは、 結構、忘れないものですよ。
補足
回答、ありがとうございます。 私も捻りについて考えたのですが、 自分のパスワードを忘れるような場合、 それを登録したときの”秘密の質問と答え” を覚えている可能性は低いのではないかと 思います。なので、そのとき、どう捻った かを覚えておかなければいけないという点で これはパスワードを覚えていることと同義に なってしまう気がします。 この、”秘密の質問と答え”は ・本人なら忘れるはずがなくいつでも即答できる という要件が感じられます。(←私の推測ですが) ただ、それがパブリックな情報だと他人に類推や 調査されるので ・上記の要件 + 本人が公に話さない内容 ということになってくると思います。 たとえば、 ・初体験の相手は? ・初めて殺したいと思った人は? などなど。(笑) こういった内容を公に話す人もいますが 本人が、他人には決して話さないけど、絶対に 忘れないようなことを質問すれば、この仕組みは 機能するような気はします。 しかし、そこまでして利用すべき仕組みなのか セキュリティ的に有効なのかが、疑問です。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
ありがとうございます。 これは利便性のサービスであり、やはり セキュリティ的に問題視されているんですね。 私自身は使いたくないので 設定しない選択肢を与えてもらいたいと思います。 設定する際に ――――― ”私は、リスクを理解したうえで パスワードを忘れた際の利便性向上のため、 秘密の質問と答えを設定します” ――――― などの同意を取らせる方が良いかと。 *タバコの注意書きみたい(笑)