パスワードを忘れた? アカウント作成
15636247 story
セキュリティ

本人よりも詐欺師の方が高い「秘密の質問」の正解率 75

ストーリー by nagazou
経験値 部門より
headless 曰く、

「秘密の質問」のような知識ベースの認証 (KBA) がセキュリティを低下させると言われて久しいが、コールセンター向けの認証技術を提供する Pindrop によれば、本人よりも詐欺師の方がより正確に秘密の質問に答えられるそうだ (2022 Voice Intelligence & Security ReportBetaNews の記事)。

Pindrop が 2021 年に顧客の小規模なサンプル 3 か月分を調べたところ、秘密の質問に正しく回答できた割合は本物の顧客よりも詐欺師の方がわずかに高かったという。さらに、あるコールセンターと Pindrop が実施した 1 か月にわたる比較研究の結果では詐欺師が KBA を通過できた割合が 92 % だったのに対し、本物の顧客が KBA を通過できた割合は 46 % にとどまったとのこと。

そのため、詐欺を防ぎつつ迅速なサービスを可能にする方法として、KBA をパッシブ認証に置き換えることを推奨している。First National Bank of Omaha (FNBO) の導入例では、ワンタイムパスワード (OTP) の使用が 75 % 減り、平均処理時間 (AHT) が 30 秒短くなったほか、アカウント乗っ取り詐欺 (ATO) の検知率が 59 % 向上し、ATO による損失は全体で 16 % 減少、アカウント平均で 47 % 減少したそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 名探偵コナンで、怪盗キッドが警官に変相して本人確認と称して、誕生日とかいろいろ聞かれて、最後に「運転免許証番号」を聞かれた。
    すらすら答えたので、「自分の免許証番号なんか知っている奴がいるか!」で、ばれていた話があったな。
    --
    ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
    • アイザック・アシモフかアーサー・C・クラークの推理小説であったアレか……。

      「第2次大戦中にアメリカに入ったナチのスパイを摘発する仕事をしててさ、その時、容疑者にアメリカの国歌の『星条旗』を歌わせたんだ」
      「いや、流石にアメリカに送り込むスパイには、そんなもの覚えさせてるだろ」
      「逆だよ。歌詞がマズいんで、あの頃既に歌われなくなってた3番をちゃんと歌えたんだ」

      親コメント
      • by Anonymous Coward on 2022年04月27日 19時08分 (#4240638)

        アシモフの「ユニオン・クラブ奇譚 (The Union Club Mysteries)」の「逃げ場なし (No Refuge Could Save)」ですね。80年初出だから、結構新しめです。
        別エッセイでアシモフが自身のことを「自分は国歌狂いだ」と言っていて、4番まで歌えることを持ちネタにしてたそうです。("All Four Stanzas (of the Star Spangled Banner, in detail)", March 1991/邦訳不明…邦訳を見た気もするが気のせいかも)

        3番が歌われなくなったのは、元の歌詞が1812年の英米戦争で作られたもので、3番が特に英国をけなす内容だったところ、第二次世界大戦中に、英国が同盟国となったため、歌わなくなったそうです。
        https://en.wikipedia.org/wiki/No_Refuge_Could_Save [wikipedia.org]

        親コメント
    • by Anonymous Coward

      そんな奴いるか!でそれを認めたらだめだな。そこが甘い。例外はいるものだから。

      #私は複数の銀行口座、複数のクレカ番号、複数の免許番号、複数の知り合いの電話番号覚えてる。πは100桁ほど。アスペだから余裕よ

  • by mars12 (28939) on 2022年04月26日 18時26分 (#4239890) 日記

    Windowsインストール時のも同様。
    どうせ使わんし覚えれない。
    日本人は漢字かひらがなか忘れるのツライ。

    • by Anonymous Coward

      キーボードぐちゃぐちゃぐちゃって打って適当入力。
      何かの機会に入力しなきゃいけなくなると詰む。

      • なんか、ぐちゃぐちゃに打って、次にログインするときには、必ず、「パスワードを忘れた方」の手続きをするという人もいたような。

        メールで手続きが完結して、かつ、メールをハックされなければ安全。
        メールで「あなたのパスワードはこれこれです」と帰ってきて、さらに話題が膨らむ(こともある)
        --
        ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
        親コメント
      • by Anonymous Coward

        もしかしてパスワード“くぁwせdrftgyふじこlp;@:「」”だったりしません?

  • by you160 (1221) on 2022年04月26日 18時38分 (#4239903)

    セキュリティ的に役立たず

    https://jp.techcrunch.com/2015/05/22/20150521google-study-shows-securi... [techcrunch.com]

  • by Anonymous Coward on 2022年04月26日 17時26分 (#4239812)

    パスワードリセット時には本人確認をもって認証とするとした時に、確認を秘密の質問で代用するわけだけど
    別にただのパスワードだからランダム生成とか適当な文字列を入れてメモするのが正しいと思う

    メモをなくせなくなるけど

    • by Anonymous Coward

      自分もこれ。

      秘密の質問認証が脆弱なのは既に認識共有されてると思うから、過去から負の仕様を引き継いでるサービスはそろそろ本気で直して欲しい。

  • by Anonymous Coward on 2022年04月26日 17時38分 (#4239833)

    サイトによっては
    「ひらがなのみ」「半角不可」「漢字もOK」
    などの制限があり、しかもいざ入力するときに「ひらがなのみ」なのかどうか書かれていないので、
    合っているはずの答えを、例えば「○○小学校」と何度書いても通らなかったりして、
    ストレスの溜まる作業。

    秘密の質問自体に意味があるのかってのもあり、面倒なので全部ひらがなでどの質問も同じ文字、
    例えば「わかりません」で統一してる。

    • by Anonymous Coward

      質問と関係ないキーワードにしてるな
      質問から類推できるキーワードだと脆弱なのはわかってるから
      例として
      好きな果物は
      ふぐりのにっころがし

  • 怪盗キッドの変装を疑ってる人物に、コナンが運転免許証番号を聞いたら、すらすらと答えたものだから
    「本人が運転免許証番号なんて暗記してるはずがない」と変装を看破したって回を思い出したね。

    まぁ、普通覚えてないわな。
    「公知でもないし吹聴してもいない」けど「自分自身はちゃんと覚えている」ネタってそうそうないだろうし、秘密の質問自体がナンセンスだよなぁ。

  • by Anonymous Coward on 2022年04月28日 20時48分 (#4241350)

     法人口座でネットバンキング(業務)しているんですが、来月後半には「秘密の質問」の設定を求められることになったんですよ。
     法人に「通った小学校」とか「お母さんの旧姓」とか「子供のころ飼っていたペットの名前」とかあるわけないだろ。
     BKに文句を言ったら「ご担当者さまの個人的な情報で結構です」と言われちまった。
     個人的なネタを後任に引き継ぐなんていやだし、かといって引き継がないと
            ・前任者の通った小学校
            ・前任者のご母堂のの旧姓
            ・前任者が子供のころ飼っていたペットの名前
    を問われて後任が髪をかきむしることになってしまう。
     気は確かか、赤い銀行!

  • パスワードは覚えないといけないから、複雑なパスワードに設定できないし、サイトごとに別にするのも難しい
    最大の欠点である、覚えないといけない、ってのをなんとかすればいい

    パスワードはパスワードマネージャに記憶、パスワードマネージャは定期的にバックアップして高信頼性SDカードとかに入れておく
    スマホにバックアップしたり、ノートに書いたり、印刷するのもあり

    • 詐欺師「パスワードマネージャー開発して公開したろ」

      パスワードデータはクラウドで保管するので端末失くしても安心、保管データは暗号化されているので安全です
      (クラウドサーバーは詐欺師が運営してるし、マスターパスワードは詐欺師が持ってるけどね)

      親コメント
      • by Anonymous Coward

        クラウドで保管します〜って時点で使わんわ……
        GoogleやAppleのパスワードマネージャすら信用しない

          • by Anonymous Coward

            パスワード記憶端末も、マイナー故にこういう脆弱性が放置されてたりするので使いたくない。

            完全オフラインのWindows PCをもう一台用意して、Bitlockerの起動前認証を噛ませつつ、その中に暗号化できるソフトを導入し保存しておく。
            ドライブが抜かれてもおそらく解読不能。

        • by Anonymous Coward

          何なら信用できるんですかね?まあ、聞くだけ無駄だろうけど。

          • by Anonymous Coward

            Firefoxのパスワードマネージャーは使いますね。
            キーファイルとログイン情報が分かれていて、マスターパスワードを変更してもキーファイルしか書き換わらないのが残念な部分ですが……

    • by Anonymous Coward

      トレンドマイクロの「パスワードマネージャー」権限昇格の脆弱性
      https://www.security-next.com/127828 [security-next.com]

      やっぱり付箋に書いてモニタの端に貼り付けておくのが、安心安全便利!

      • >やっぱり付箋に書いてモニタの端に貼り付けておくのが、安心安全便利!

        10年以上前ですが。
        某公務員事務所でお話中目に入った共用PCに
        「***のパスワードは***課長のID番号」
        という張り紙があったのを思い出した。

        親コメント
      • by Anonymous Coward

        オフィスだと付箋はまずいけど、
        リモートワークかつ仕事部屋に自分以外入らないようにしているのなら
        悪くない気がしてきた。

        • by Anonymous Coward

          アナログな手段で保存された文字列を、ネット越しに盗み見るのは至難の業だからね。
          万一WEBカメラのコントロールを奪われても、モニタに貼っておけばまず見えない!

      • by Anonymous Coward

        なおソーシャルハッキングの可能性は考慮しないものとする

  • by Anonymous Coward on 2022年04月26日 17時19分 (#4239809)

    覚えられる程度のハッシュ関数(比喩です)で
    サイト名から導出したものをパスワードとしています。
    まあ万人向けじゃないですけどね

    • by Anonymous Coward

      私も
      echo "{password}-{site}" | md5sum | rot
      とかで生成したパスワードを使用してたなあ。
      ・{site} の部分は対象のサイトごとに変えるけど、"amazon" とか URL の一部なので覚える必要無し
      ・{password} の部分は自分で覚えておけるパスワード。だいたい3つの使いまわし。

      メモしたりする必要が無いし、流出しても特定サイトの分だけなので比較的安全。
      方式がばれても md5 逆算できなければ、他サイトの分は推測不能なので。

  • by Anonymous Coward on 2022年04月26日 17時35分 (#4239828)

    親族の誕生日や名前そんなに覚えてない
    生まれ育った町とかにもそんなに興味無いので知らない
    自分の子供の頃の事も同上

    標的型だったら調べれば判るような物ばかりだから、「秘密の質問」はとても筋悪な手法だと思う。
    一時流行った事が不思議なぐらいです。

    • by Anonymous Coward on 2022年04月26日 18時15分 (#4239875)

      最近は質問自体を自分で入れさせるところがあって、質問の種類・大まかな趣旨だけでなく正確な表現まで覚えておかないといざという時に使えないのかと思うと絶望的。

      親コメント
    • by Anonymous Coward

      「暗証番号に生年月日や電話番号の下4桁を使うのはやめましょう」なんて
      銀行とかで聞くベタな「せきりていきょういく」だと思うけど、
      その内容を理解している者はいなかったわけだ。

  • by Anonymous Coward on 2022年04月26日 17時40分 (#4239835)

    まったく覚えていない。「母親の旧姓」とか近親者ならすぐにわかる答えを入れた記憶があるんだがまだ残っているなら消したい。

  • by Anonymous Coward on 2022年04月26日 17時47分 (#4239844)

    質問とは全く関係ない答えを設定してますけどね。

    • by Anonymous Coward on 2022年04月27日 1時17分 (#4240098)

      まったく関係ないのは気持ち悪いから捻くれた回答してるな
      Q:母親の旧姓は?
      A:クラスメイトの可愛い子が一緒の姓で複雑な気持ちになった思い出がある

      親コメント
    • by Anonymous Coward

      結局質問とは全く関係ないパスワード入れるのが一番いいのよね。
      ほんと無意味

    • by Anonymous Coward

      私の場合、めずらしい名字な上に父親が婿養子なので「お母さんの旧姓は?」にしたら、正解は逆に盲点になる上に、将来、加齢などでボケてもよほど酷くならない限りはその正解を忘れようが無い。

  • by Anonymous Coward on 2022年04月26日 18時33分 (#4239899)

    詐欺師ってどこでサンプル取ったんだろ。刑務所?

    • by Anonymous Coward

      向こうではどういう質問になっているのか知らないけど、本人の過去について本人より正解率が高いなんて詐欺師じゃなくてストーカーだよな

  • by Anonymous Coward on 2022年04月26日 18時51分 (#4239915)

    秘密の質問とは、パスワード再発行コストをカットしたいサービスベンダのためにあるのであって、
    利用者側にとっては、パスワード以外にいわば余計な合鍵をもう一本作らされるようなものです。

  • by Anonymous Coward on 2022年04月26日 18時52分 (#4239918)

    秘密の質問ってパスワードと同程度のエントロピーのランダムな文字列にするのが常識なんじゃないの?
    さすがに最近廃れてきたから、未だに求めてくるサイトはそれだけで要注意扱いにしてるけど。

  • by Anonymous Coward on 2022年04月26日 21時07分 (#4240013)

    質問ですらパスワードやで。少し簡単になっとるけど。

  • by Anonymous Coward on 2022年04月26日 21時11分 (#4240015)

    ・チン長何センチ?
    ・下半身にほくろいくつある?
    ・オ〇ニーは年に何回する?

    駄目だな。総当たりで簡単に突破できそう。

  • by Anonymous Coward on 2022年04月26日 23時02分 (#4240065)

    どこのシステムだったか忘れたが、「秘密の質問」自体が秘密で、
    「母親の旧姓は?」「初めて海外旅行に行った国は?」などといった項目から、以前自分が選んだ質問から選び、
    さらにその答えを入力するというものがあった。

    ムリです。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...