アカウント名:
パスワード:
サービス側が「秘密の質問」をどんな用途で使ってるか次第で、まったく様相は変わってきませんかね。
①「秘密の質問」がパスワードと同等に機能する。 つまり、入力すると、パスワード認証した場合と同じ権限でセッションが張られる。
⇒記事の通り。ただし、これは「役立たず」というものではなく、明らかに不都合のあるセキュリティホール。 こんな阿呆なWebサイト、今のところ見たことありませんが。
②「秘密の質問」を入力しても権限は得られず、正規ユーザに向けて「何かの情報」が通知されるのみ。
例えば、「あなたのメアドにパスワード送ったからね」とか「パスワード変更専用のURL送ったからね」的なやつ。
⇒たとえ「秘密の質問」をクラックされても、正規のユーザに鬱陶しいメールが何通も届くのみ。 悪意あるユーザが何か得をすることはない。 ので、セキュリティレベルの低い質問を設定していても、たいした実害はない。
てか、大抵のWebサイトは②か、それに準じた使い方してると個人的には思ってるんですが、そうでもないんですかね。
例えるなら、「秘密の質問」ってのは火災報知機のボタンの前にプラスチックの囲いが付いてるように、
・押されても、押した側に何かメリットがあるわけではない(愉快犯は別だけど) ・ただ、気軽に押されると迷惑なので、ちょっと押しにくくしてある程度
というくらいの位置づけで使うべきで、その用途においては十分意味のあるものだと思うんですが、皆々様はどう考えますかね。
気軽に押されると迷惑なので押しにくくする目的なら、「秘密の質問」じゃなくても例えばCAPTCHAでいいよね。
「秘密の質問」はサイトによって扱いがまちまちであり、かつその「まちまちさ」を利用者が把握し辛いのが難点かと思う。「秘密の質問」はパスワードっぽいニュアンスで入力を求められて、パスワードっぽい感じで認証のリカバリに使用される印象だけれど、そのリカバリプロセスの詳細な部分を把握して入力する人ってきっと少ないよね。こういった「利用者がその入力項目の秘匿性を理解し辛い」ものは脆弱性になりがちなので、廃止した方がいいと思ってる。
CAPTCHAじゃ本人以外でも押せちゃうじゃないか
どのレベルまで押しにくくするかによるけど、元ACの求めているレベルだとCAPTCHAでもいいんじゃないの?と言う話。例としてCAPTCHAを挙げたけど「そのサイトに登録した情報で、本人が思い出せそうなもの」でも良いかな。メールアドレス(※IDがメアドではない場合)や生年月日など。それとCAPTCHAを組み合わせても良いし。
確かにこれらより「秘密の質問」を使った方が単体で見たセキュリティは恐らく高くなるだろうけれど、前述したデメリットの方が大きいと現状は思ってる。
①に近い使われ方も多いんじゃないでしょうか。「秘密の質問」は本人確認の手段として使われていて、秘密の質問に答えられた人は「本人」として扱われ、登録メールアドレスの変更、パスワードの変更などの権限を与えてしまう、というケースも多いように思います。
例えば、こことか登録メールアドレスを忘れていても、パスワードの再設定ができるようです。 http://help.rakuten.co.jp/mw/?hid=51 [rakuten.co.jp]
過去にはこんなことも
秘密の質問に答えるとパスワード変更画面に遷移するのを見落としてませんか①ほどアホではないですが、実質同じというサイトは多いような気もします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:1)
サービス側が「秘密の質問」をどんな用途で使ってるか次第で、まったく様相は変わってきませんかね。
①「秘密の質問」がパスワードと同等に機能する。
つまり、入力すると、パスワード認証した場合と同じ権限でセッションが張られる。
⇒記事の通り。ただし、これは「役立たず」というものではなく、明らかに不都合のあるセキュリティホール。
こんな阿呆なWebサイト、今のところ見たことありませんが。
②「秘密の質問」を入力しても権限は得られず、正規ユーザに向けて「何かの情報」が通知されるのみ。
例えば、「あなたのメアドにパスワード送ったからね」とか「パスワード変更専用のURL送ったからね」的なやつ。
⇒たとえ「秘密の質問」をクラックされても、正規のユーザに鬱陶しいメールが何通も届くのみ。
悪意あるユーザが何か得をすることはない。
ので、セキュリティレベルの低い質問を設定していても、たいした実害はない。
てか、大抵のWebサイトは②か、それに準じた使い方してると個人的には思ってるんですが、そうでもないんですかね。
例えるなら、「秘密の質問」ってのは火災報知機のボタンの前にプラスチックの囲いが付いてるように、
・押されても、押した側に何かメリットがあるわけではない(愉快犯は別だけど)
・ただ、気軽に押されると迷惑なので、ちょっと押しにくくしてある程度
というくらいの位置づけで使うべきで、その用途においては十分意味のあるものだと思うんですが、皆々様はどう考えますかね。
Re:サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:2)
気軽に押されると迷惑なので押しにくくする目的なら、「秘密の質問」じゃなくても例えばCAPTCHAでいいよね。
「秘密の質問」はサイトによって扱いがまちまちであり、かつその「まちまちさ」を利用者が把握し辛いのが難点かと思う。
「秘密の質問」はパスワードっぽいニュアンスで入力を求められて、パスワードっぽい感じで認証のリカバリに使用される印象だけれど、そのリカバリプロセスの詳細な部分を把握して入力する人ってきっと少ないよね。
こういった「利用者がその入力項目の秘匿性を理解し辛い」ものは脆弱性になりがちなので、廃止した方がいいと思ってる。
Re: (スコア:0)
CAPTCHAじゃ本人以外でも押せちゃうじゃないか
Re:サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:2)
どのレベルまで押しにくくするかによるけど、元ACの求めているレベルだとCAPTCHAでもいいんじゃないの?と言う話。
例としてCAPTCHAを挙げたけど「そのサイトに登録した情報で、本人が思い出せそうなもの」でも良いかな。メールアドレス(※IDがメアドではない場合)や生年月日など。それとCAPTCHAを組み合わせても良いし。
確かにこれらより「秘密の質問」を使った方が単体で見たセキュリティは恐らく高くなるだろうけれど、前述したデメリットの方が大きいと現状は思ってる。
Re: (スコア:0)
①に近い使われ方も多いんじゃないでしょうか。
「秘密の質問」は本人確認の手段として使われていて、秘密の質問に答えられた人は「本人」として扱われ、登録メールアドレスの変更、パスワードの変更などの権限を与えてしまう、というケースも多いように思います。
例えば、
こことか登録メールアドレスを忘れていても、パスワードの再設定ができるようです。
http://help.rakuten.co.jp/mw/?hid=51 [rakuten.co.jp]
過去にはこんなことも
Re: (スコア:0)
秘密の質問に答えるとパスワード変更画面に遷移するのを見落としてませんか
①ほどアホではないですが、実質同じというサイトは多いような気もします。