パスワードを忘れた? アカウント作成
12938345 story
セキュリティ

秘密の質問の答えはパスワードのように扱うべき? 48

ストーリー by headless
秘密 部門より
秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「パスワードのようにランダムな文字列を設定する」のならば、
    もはやそれは「質問」である意味が無いのだから
    質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。

    「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうから
    メモしておかないといけない項目も増えてしまうし。

    --
    --------------------
    /* SHADOWFIRE */
    • by Anonymous Coward on 2016年10月01日 20時34分 (#3089697)

      意味がないね
      そもそもパスワードってのがもともとこの手の概念と同じレベルが走りだったはずだ
      様式が変わったからって本質的なもんは何も変わってない
      漏れやすいパスにすりゃあそりゃ問題で、パスワードをのように運用しないと駄目ってことで端っから破綻してる
      大した個人情報がないならメアドだけでパスワードリセット可能にすべきだし
      メールサービス側がセキュリティ担保してればこれで十分な救済策になる

      親コメント
    • by Anonymous Coward on 2016年10月01日 13時35分 (#3089592)

      システムを構築する側がどうするかという話ではありません。
      そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。
      自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。

      親コメント
      • by Anonymous Coward on 2016年10月01日 17時24分 (#3089665)

        今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。

        親コメント
        • by nim (10479) on 2016年10月02日 11時32分 (#3089830)

          秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。

          秘密の質問もユーザに入力させるの?

          親コメント
          • by Anonymous Coward

            秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。

            別の話だけど、
            「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがあり
            パスワードは別に記録してあって分かるんだけど
            (選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。

            • by Anonymous Coward

              ねんきんネットがそうですね。

  • 母親の名前だとか卒業した学校の名前なんてのはなんだか書きたくない。
    その上好きな食べ物なんてのも割とその時の気分で変わってしまう。
    面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ

    もう全てワンタイムパスにして欲しい

  • それが自身のプライベート情報である必要はない

    あと、そもそもWebの認証とは相性が悪いと思う

    たぶん、リセット用コードand/or重要情報へアクセスする時の2ndパスワードand/orリスクベース認証が機能すればいい程度なんだし

    # 1stパスワード不明時のパスワードリセットはなくてもいいか
    # リセットは : メールとかのアクセス手段が潰れたときの、ワンセットリセット用とか
    # 2ndパスは : 支払い情報の変更/確認とか
    # リスク認証 : いつもと違うログイン時に要求とか

    さすがにそれぞれは別にしたほうがいいけど、要件によるが、ぜんぶが必要になるサービスはあんまないだろうから追加で1、2の普段は使わない秘密コード持てばいいので、プライベート情報である必要はまったくないよな...

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2016年10月01日 13時18分 (#3089589)

    いまさら言われても、変更できません。

    Yahoo! JAPAN IDに関するヘルプ - 「秘密の質問と答え」を設定するには
    http://www.yahoo-help.jp/app/answers/detail/p/544/a_id/42001 [yahoo-help.jp]

    • by Anonymous Coward

      米Yahoo!はどうなの? こないだ秘密の質問が漏洩したらしいけど、詰んでない?

  • これはヒントの筈だから覚えてないぞ>コロプラ
    (そりゃセキュリティは向上するだろうけど)

  • by Anonymous Coward on 2016年10月01日 11時44分 (#3089552)

    この個人情報盗聴サービスが始まった当初からランダムな文字列にしてますが。ちょっと考えたら気持ち悪くて仕方ないだろ

    • by Anonymous Coward

      ほんと、この手の話題が出る旅にいつも誰か書いてるじゃんねぇ。

      • by Anonymous Coward

        デスヨネー

        パスワードと同じ扱いにしてサイトごとに別の文字列設定するって、もう常識かと思ってた。

        • by Anonymous Coward on 2016年10月01日 22時35分 (#3089734)

          残念ながら常識ではないです。
          殆どの人が素直に相手の言うことを聞いて酷い目にあいます。
          基本世の中「バカばっか」なんですよ。
          でなきゃいまだにオレオレ詐欺の被害がなくならないことを説明出来ないでしょ。

          親コメント
          • by Anonymous Coward

            世の中馬鹿ばっかなのはいいんだけど、
            アレゲサイトをわざわざ見に来るような人たちまで
            そういうのばっかりだとちょっと萎える。

    • by Anonymous Coward

      そうしたくても、ひらがな限定にしているサイトもあるからな。某銀行とか。

      一番セキュリチィに気を使わないとならない銀行がわざわざ暗号強度を下げるような制限をして何を考えているんだと思うけど。

      • by Anonymous Coward

        数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。

        ランダムなひらがなの文字列にすればいいだけでしょ。
        入力するときはどうせコピペするんだし。

        • by Anonymous Coward

          >数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。

          カードや通帳などの物理的実体との組み合わせだから、言うほどはレベル低くないんですよ。
          チャレンジ回数も制限されてるし、窓口やATMなら撮影・記録もされてるし。

          システムは全体で評価すべき。
          web経由は甘いんじゃない?ってのと通帳/カードの暗証番号とは一緒くたにしちゃダメ。

  • by Anonymous Coward on 2016年10月01日 13時03分 (#3089587)

    秘密の質問ってパスワードじゃないから、入力文字列がそのまま見えてしまうのがちょっと嫌。
    まあ入力するのはパスワードを忘れた時とかの非常時なんで、その時だけ背後に気をつければ大丈夫だけど。

    まさか日常的に秘密の質問を訊いてくるサイトとかないよね?

    • by Anonymous Coward on 2016年10月01日 13時41分 (#3089594)

      >まさか日常的に秘密の質問を訊いてくるサイトとかないよね?
      楽天銀行。
      いちど突破された。

      親コメント
    • by Anonymous Coward on 2016年10月01日 18時27分 (#3089675)

      MyJCBとか。
      よく使う端末(ブラウザ)からは2回目以降を省略できるようになってはいるけど。

      親コメント
      • by Anonymous Coward

        MyJCBのはパスワードリマインダじゃなくて追加パスワード。

        # なんだけど、秘密の質問形式でやるのは単純にアホだと思う。
        # MyJCBは以前パスワードの桁数が7以下に制限されていたり、
        # あんまりセキュリティ面では信用できない印象。

    • by Anonymous Coward

      毎回、誕生日とか出身校とか聞いてくる銀行はあるよ。

  • by Anonymous Coward on 2016年10月01日 23時22分 (#3089746)

    サーバー側で、まさか平文で保存していたりしませんよね?
    流出したらどうするんですか?

    # 「好きなおぱんつは?」
    # ・JS未満のおぱんつ
    # ・JCのおぱんつ
    # ・JKのおぱんつ
    # ・JD/成人のおぱんつ
    # ・高齢者用おむつ
    # ・はいてないこそ至高

    • by Anonymous Coward

      秘密の質問

      # あなたの性癖は?

      答え

      # 秘密です

    • by Anonymous Coward

      ふんどし

  • by Anonymous Coward on 2016年10月02日 7時35分 (#3089798)

    阪神タイガースのチケット販売サイトがユーザーフレンドリーだったのだけれど(ソース [mie-u.ac.jp])、

    今改めてサイト [toraticket...unt.pia.jp]を確認してみると、やめてしまったっぽい。

  • by Anonymous Coward on 2016年10月15日 11時21分 (#3097093)

    JCBもいよいよ、3Dセキュア(J/Secure)に動的パスワード(ワンタイムパスワード)を導入ですね~。 クレジットカード詐欺犯罪抑止、ジャパンネット銀行、三井住友カードに続いて、これから益々増えそうです。 三井住友カードのワンタイムパスワード利用してますが、忘れることもなく、定期的にパスワード変更することもないので便利です。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...