秘密の質問の答えはパスワードのように扱うべき? 48
ストーリー by headless
秘密 部門より
秘密 部門より
秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。
Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。
ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。
記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。
Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。
ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。
記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。
質問である意味がない (スコア:2)
「パスワードのようにランダムな文字列を設定する」のならば、
もはやそれは「質問」である意味が無いのだから
質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。
「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうから
メモしておかないといけない項目も増えてしまうし。
--------------------
/* SHADOWFIRE */
Re:質問である意味がない (スコア:2, すばらしい洞察)
意味がないね
そもそもパスワードってのがもともとこの手の概念と同じレベルが走りだったはずだ
様式が変わったからって本質的なもんは何も変わってない
漏れやすいパスにすりゃあそりゃ問題で、パスワードをのように運用しないと駄目ってことで端っから破綻してる
大した個人情報がないならメアドだけでパスワードリセット可能にすべきだし
メールサービス側がセキュリティ担保してればこれで十分な救済策になる
Re:質問である意味がない (スコア:1)
システムを構築する側がどうするかという話ではありません。
そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。
自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。
Re:質問である意味がない (スコア:1)
今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。
Re:質問である意味がない (スコア:1)
秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。
秘密の質問もユーザに入力させるの?
Re: (スコア:0)
秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。
別の話だけど、
「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがあり
パスワードは別に記録してあって分かるんだけど
(選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。
Re: (スコア:0)
ねんきんネットがそうですね。
秘密の質問とは関係の無い答えにしてる (スコア:1)
母親の名前だとか卒業した学校の名前なんてのはなんだか書きたくない。
その上好きな食べ物なんてのも割とその時の気分で変わってしまう。
面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ
もう全てワンタイムパスにして欲しい
Re:秘密の質問とは関係の無い答えにしてる (スコア:2, おもしろおかしい)
利用規約:嘘偽りのない情報を登録してください
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
だよね。ちなみに俺はこうしている。
母親の名前は:フネ
卒業した小学校は:私立さくらんぼ小学校
初恋の人の名前は:かば
好きなものは:女の子
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
母親の名前は:私立さくらんぼ小学校
卒業した小学校は:かば
初恋の人の名前は:女の子
好きなものは:初恋の人の名前小学校
ぐらい外しておいたほうがいい
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
やろうとしたけどマッチングを忘れる…
それでパスワードマネージャ使うんだったらもうランダム文字列でいいかなと。
Re: (スコア:0)
母親の名前は:秘密です
卒業した小学校は:秘密です
初恋の人の名前は:秘密です
好きなものは:秘密です
これなら忘れない
Re: (スコア:0)
ゼロスくんを思い出した。
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
Re: (スコア:0)
なぜ変わらないと思った?
Re: (スコア:0)
そんなもん時間とともに風化するよね
若い間だけの特権だよ
Re: (スコア:0)
風化というか
そもそも単一じゃないよね
Re: (スコア:0)
>面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ
これは止めようや
知識ベースの認証があること自体はべつにいい (スコア:1)
それが自身のプライベート情報である必要はない
あと、そもそもWebの認証とは相性が悪いと思う
たぶん、リセット用コードand/or重要情報へアクセスする時の2ndパスワードand/orリスクベース認証が機能すればいい程度なんだし
# 1stパスワード不明時のパスワードリセットはなくてもいいか
# リセットは : メールとかのアクセス手段が潰れたときの、ワンセットリセット用とか
# 2ndパスは : 支払い情報の変更/確認とか
# リスク認証 : いつもと違うログイン時に要求とか
さすがにそれぞれは別にしたほうがいいけど、要件によるが、ぜんぶが必要になるサービスはあんまないだろうから追加で1、2の普段は使わない秘密コード持てばいいので、プライベート情報である必要はまったくないよな...
M-FalconSky (暑いか寒い)
変更できない (スコア:1)
いまさら言われても、変更できません。
Yahoo! JAPAN IDに関するヘルプ - 「秘密の質問と答え」を設定するには
http://www.yahoo-help.jp/app/answers/detail/p/544/a_id/42001 [yahoo-help.jp]
Re: (スコア:0)
米Yahoo!はどうなの? こないだ秘密の質問が漏洩したらしいけど、詰んでない?
秘密の質問も聞いてくる (スコア:1)
これはヒントの筈だから覚えてないぞ>コロプラ
(そりゃセキュリティは向上するだろうけど)
何をいまさら (スコア:0)
この個人情報盗聴サービスが始まった当初からランダムな文字列にしてますが。ちょっと考えたら気持ち悪くて仕方ないだろ
Re: (スコア:0)
ほんと、この手の話題が出る旅にいつも誰か書いてるじゃんねぇ。
Re: (スコア:0)
デスヨネー
パスワードと同じ扱いにしてサイトごとに別の文字列設定するって、もう常識かと思ってた。
Re:何をいまさら (スコア:1)
残念ながら常識ではないです。
殆どの人が素直に相手の言うことを聞いて酷い目にあいます。
基本世の中「バカばっか」なんですよ。
でなきゃいまだにオレオレ詐欺の被害がなくならないことを説明出来ないでしょ。
Re: (スコア:0)
世の中馬鹿ばっかなのはいいんだけど、
アレゲサイトをわざわざ見に来るような人たちまで
そういうのばっかりだとちょっと萎える。
Re: (スコア:0)
そうしたくても、ひらがな限定にしているサイトもあるからな。某銀行とか。
一番セキュリチィに気を使わないとならない銀行がわざわざ暗号強度を下げるような制限をして何を考えているんだと思うけど。
Re: (スコア:0)
数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。
ランダムなひらがなの文字列にすればいいだけでしょ。
入力するときはどうせコピペするんだし。
Re: (スコア:0)
>数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。
カードや通帳などの物理的実体との組み合わせだから、言うほどはレベル低くないんですよ。
チャレンジ回数も制限されてるし、窓口やATMなら撮影・記録もされてるし。
システムは全体で評価すべき。
web経由は甘いんじゃない?ってのと通帳/カードの暗証番号とは一緒くたにしちゃダメ。
入力フォームが丸見え (スコア:0)
秘密の質問ってパスワードじゃないから、入力文字列がそのまま見えてしまうのがちょっと嫌。
まあ入力するのはパスワードを忘れた時とかの非常時なんで、その時だけ背後に気をつければ大丈夫だけど。
まさか日常的に秘密の質問を訊いてくるサイトとかないよね?
Re:入力フォームが丸見え (スコア:1)
>まさか日常的に秘密の質問を訊いてくるサイトとかないよね?
楽天銀行。
いちど突破された。
Re:入力フォームが丸見え (スコア:1)
MyJCBとか。
よく使う端末(ブラウザ)からは2回目以降を省略できるようになってはいるけど。
Re: (スコア:0)
MyJCBのはパスワードリマインダじゃなくて追加パスワード。
# なんだけど、秘密の質問形式でやるのは単純にアホだと思う。
# MyJCBは以前パスワードの桁数が7以下に制限されていたり、
# あんまりセキュリティ面では信用できない印象。
Re: (スコア:0)
毎回、誕生日とか出身校とか聞いてくる銀行はあるよ。
サーバー側でもパスワード並に扱うべき (スコア:0)
サーバー側で、まさか平文で保存していたりしませんよね?
流出したらどうするんですか?
# 「好きなおぱんつは?」
# ・JS未満のおぱんつ
# ・JCのおぱんつ
# ・JKのおぱんつ
# ・JD/成人のおぱんつ
# ・高齢者用おむつ
# ・はいてないこそ至高
Re: (スコア:0)
秘密の質問
# あなたの性癖は?
答え
# 秘密です
Re: (スコア:0)
ふんどし
絶対に答えを忘れない為にサイト側で対応した例 (スコア:0)
阪神タイガースのチケット販売サイトがユーザーフレンドリーだったのだけれど(ソース [mie-u.ac.jp])、
今改めてサイト [toraticket...unt.pia.jp]を確認してみると、やめてしまったっぽい。
ネットショッピングのワンタイムパスワード! (スコア:0)
JCBもいよいよ、3Dセキュア(J/Secure)に動的パスワード(ワンタイムパスワード)を導入ですね~。 クレジットカード詐欺犯罪抑止、ジャパンネット銀行、三井住友カードに続いて、これから益々増えそうです。 三井住友カードのワンタイムパスワード利用してますが、忘れることもなく、定期的にパスワード変更することもないので便利です。
Re: (スコア:0)
100文字以上じゃ本人が覚えてられねえよ
「8文字以上」だって苦情が来るのに
ハッカーの手口にソーシャルエンジニアリングというものがありまして・・・ (スコア:0)
誰にも言えない秘密を墓まで持って行こうと思ってたが、
ネットで入力してハッカーまで持って行ってしまったこと。
#半角106文字換算で。
Re: (スコア:0)
お礼は3行以上(心のこもっていないお礼は受け付けられません)
を思い出した。
Re: (スコア:0)
お礼は4桁以上(円建てでないと受け付けられません)
のほうがいいな?
(元ネタがあるのか)
Re:あなたの誰にも言えない秘密を入力してください: (スコア:1)
お札は4枚以上に空目した
Re:あなたの誰にも言えない秘密を入力してください: (スコア:1)
どの神社のがいいですか?