本人よりも詐欺師の方が高い「秘密の質問」の正解率 75
ストーリー by nagazou
経験値 部門より
経験値 部門より
headless 曰く、
「秘密の質問」のような知識ベースの認証 (KBA) がセキュリティを低下させると言われて久しいが、コールセンター向けの認証技術を提供する Pindrop によれば、本人よりも詐欺師の方がより正確に秘密の質問に答えられるそうだ (2022 Voice Intelligence & Security Report、 BetaNews の記事)。
Pindrop が 2021 年に顧客の小規模なサンプル 3 か月分を調べたところ、秘密の質問に正しく回答できた割合は本物の顧客よりも詐欺師の方がわずかに高かったという。さらに、あるコールセンターと Pindrop が実施した 1 か月にわたる比較研究の結果では詐欺師が KBA を通過できた割合が 92 % だったのに対し、本物の顧客が KBA を通過できた割合は 46 % にとどまったとのこと。
そのため、詐欺を防ぎつつ迅速なサービスを可能にする方法として、KBA をパッシブ認証に置き換えることを推奨している。First National Bank of Omaha (FNBO) の導入例では、ワンタイムパスワード (OTP) の使用が 75 % 減り、平均処理時間 (AHT) が 30 秒短くなったほか、アカウント乗っ取り詐欺 (ATO) の検知率が 59 % 向上し、ATO による損失は全体で 16 % 減少、アカウント平均で 47 % 減少したそうだ。
そういえば、怪盗キッドが (スコア:4, 興味深い)
すらすら答えたので、「自分の免許証番号なんか知っている奴がいるか!」で、ばれていた話があったな。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:そういえば、怪盗キッドが (スコア:2)
アイザック・アシモフかアーサー・C・クラークの推理小説であったアレか……。
「第2次大戦中にアメリカに入ったナチのスパイを摘発する仕事をしててさ、その時、容疑者にアメリカの国歌の『星条旗』を歌わせたんだ」
「いや、流石にアメリカに送り込むスパイには、そんなもの覚えさせてるだろ」
「逆だよ。歌詞がマズいんで、あの頃既に歌われなくなってた3番をちゃんと歌えたんだ」
Re:そういえば、怪盗キッドが (スコア:1)
アシモフの「ユニオン・クラブ奇譚 (The Union Club Mysteries)」の「逃げ場なし (No Refuge Could Save)」ですね。80年初出だから、結構新しめです。
別エッセイでアシモフが自身のことを「自分は国歌狂いだ」と言っていて、4番まで歌えることを持ちネタにしてたそうです。("All Four Stanzas (of the Star Spangled Banner, in detail)", March 1991/邦訳不明…邦訳を見た気もするが気のせいかも)
3番が歌われなくなったのは、元の歌詞が1812年の英米戦争で作られたもので、3番が特に英国をけなす内容だったところ、第二次世界大戦中に、英国が同盟国となったため、歌わなくなったそうです。
https://en.wikipedia.org/wiki/No_Refuge_Could_Save [wikipedia.org]
Re: (スコア:0)
そんな奴いるか!でそれを認めたらだめだな。そこが甘い。例外はいるものだから。
#私は複数の銀行口座、複数のクレカ番号、複数の免許番号、複数の知り合いの電話番号覚えてる。πは100桁ほど。アスペだから余裕よ
全部おなじにしてる (スコア:2)
Windowsインストール時のも同様。
どうせ使わんし覚えれない。
日本人は漢字かひらがなか忘れるのツライ。
Re: (スコア:0)
キーボードぐちゃぐちゃぐちゃって打って適当入力。
何かの機会に入力しなきゃいけなくなると詰む。
Re:全部おなじにしてる (スコア:2)
メールで手続きが完結して、かつ、メールをハックされなければ安全。
メールで「あなたのパスワードはこれこれです」と帰ってきて、さらに話題が膨らむ(こともある)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
もしかしてパスワード“くぁwせdrftgyふじこlp;@:「」”だったりしません?
そもそも (スコア:2)
セキュリティ的に役立たず
https://jp.techcrunch.com/2015/05/22/20150521google-study-shows-securi... [techcrunch.com]
秘密の質問はパスワード (スコア:1)
パスワードリセット時には本人確認をもって認証とするとした時に、確認を秘密の質問で代用するわけだけど
別にただのパスワードだからランダム生成とか適当な文字列を入れてメモするのが正しいと思う
メモをなくせなくなるけど
Re: (スコア:0)
自分もこれ。
秘密の質問認証が脆弱なのは既に認識共有されてると思うから、過去から負の仕様を引き継いでるサービスはそろそろ本気で直して欲しい。
Re:秘密の質問はパスワード (スコア:2)
ひらがなだけのランダム文字列を生成するツール、普通にあると思うけど。手生成なら、かな入力で。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
全部一緒 (スコア:1)
サイトによっては
「ひらがなのみ」「半角不可」「漢字もOK」
などの制限があり、しかもいざ入力するときに「ひらがなのみ」なのかどうか書かれていないので、
合っているはずの答えを、例えば「○○小学校」と何度書いても通らなかったりして、
ストレスの溜まる作業。
秘密の質問自体に意味があるのかってのもあり、面倒なので全部ひらがなでどの質問も同じ文字、
例えば「わかりません」で統一してる。
Re: (スコア:0)
質問と関係ないキーワードにしてるな
質問から類推できるキーワードだと脆弱なのはわかってるから
例として
好きな果物は
ふぐりのにっころがし
名探偵コナン (スコア:1)
怪盗キッドの変装を疑ってる人物に、コナンが運転免許証番号を聞いたら、すらすらと答えたものだから
「本人が運転免許証番号なんて暗記してるはずがない」と変装を看破したって回を思い出したね。
まぁ、普通覚えてないわな。
「公知でもないし吹聴してもいない」けど「自分自身はちゃんと覚えている」ネタってそうそうないだろうし、秘密の質問自体がナンセンスだよなぁ。
赤い銀行の場合 (スコア:1)
法人口座でネットバンキング(業務)しているんですが、来月後半には「秘密の質問」の設定を求められることになったんですよ。
法人に「通った小学校」とか「お母さんの旧姓」とか「子供のころ飼っていたペットの名前」とかあるわけないだろ。
BKに文句を言ったら「ご担当者さまの個人的な情報で結構です」と言われちまった。
個人的なネタを後任に引き継ぐなんていやだし、かといって引き継がないと
・前任者の通った小学校
・前任者のご母堂のの旧姓
・前任者が子供のころ飼っていたペットの名前
を問われて後任が髪をかきむしることになってしまう。
気は確かか、赤い銀行!
サイトごとにランダムパスワード+パスワードマネージャに記憶させるが高セキュリティ (スコア:0)
パスワードは覚えないといけないから、複雑なパスワードに設定できないし、サイトごとに別にするのも難しい
最大の欠点である、覚えないといけない、ってのをなんとかすればいい
パスワードはパスワードマネージャに記憶、パスワードマネージャは定期的にバックアップして高信頼性SDカードとかに入れておく
スマホにバックアップしたり、ノートに書いたり、印刷するのもあり
Re:サイトごとにランダムパスワード+パスワードマネージャに記憶させるが高セキュリティ (スコア:1)
詐欺師「パスワードマネージャー開発して公開したろ」
パスワードデータはクラウドで保管するので端末失くしても安心、保管データは暗号化されているので安全です
(クラウドサーバーは詐欺師が運営してるし、マスターパスワードは詐欺師が持ってるけどね)
Re: (スコア:0)
クラウドで保管します〜って時点で使わんわ……
GoogleやAppleのパスワードマネージャすら信用しない
Re: (スコア:0)
そんなあなたに:パスワードを記録する専用端末「ミルパス」 [security.srad.jp]
なお:キングジムの「テプラ」やパスワードマネージャーに脆弱性が見つかる [hardware.srad.jp]
Re: (スコア:0)
パスワード記憶端末も、マイナー故にこういう脆弱性が放置されてたりするので使いたくない。
完全オフラインのWindows PCをもう一台用意して、Bitlockerの起動前認証を噛ませつつ、その中に暗号化できるソフトを導入し保存しておく。
ドライブが抜かれてもおそらく解読不能。
Re: (スコア:0)
何なら信用できるんですかね?まあ、聞くだけ無駄だろうけど。
Re: (スコア:0)
Firefoxのパスワードマネージャーは使いますね。
キーファイルとログイン情報が分かれていて、マスターパスワードを変更してもキーファイルしか書き換わらないのが残念な部分ですが……
Re: (スコア:0)
トレンドマイクロの「パスワードマネージャー」権限昇格の脆弱性
https://www.security-next.com/127828 [security-next.com]
やっぱり付箋に書いてモニタの端に貼り付けておくのが、安心安全便利!
Re:サイトごとにランダムパスワード+パスワードマネージャに記憶させるが高セキュリティ (スコア:1)
>やっぱり付箋に書いてモニタの端に貼り付けておくのが、安心安全便利!
10年以上前ですが。
某公務員事務所でお話中目に入った共用PCに
「***のパスワードは***課長のID番号」
という張り紙があったのを思い出した。
Re: (スコア:0)
オフィスだと付箋はまずいけど、
リモートワークかつ仕事部屋に自分以外入らないようにしているのなら
悪くない気がしてきた。
Re: (スコア:0)
アナログな手段で保存された文字列を、ネット越しに盗み見るのは至難の業だからね。
万一WEBカメラのコントロールを奪われても、モニタに貼っておけばまず見えない!
Re: (スコア:0)
なおソーシャルハッキングの可能性は考慮しないものとする
自分だけの冴えたやり方(のつもり) (スコア:0)
覚えられる程度のハッシュ関数(比喩です)で
サイト名から導出したものをパスワードとしています。
まあ万人向けじゃないですけどね
Re: (スコア:0)
私も
echo "{password}-{site}" | md5sum | rot
とかで生成したパスワードを使用してたなあ。
・{site} の部分は対象のサイトごとに変えるけど、"amazon" とか URL の一部なので覚える必要無し
・{password} の部分は自分で覚えておけるパスワード。だいたい3つの使いまわし。
メモしたりする必要が無いし、流出しても特定サイトの分だけなので比較的安全。
方式がばれても md5 逆算できなければ、他サイトの分は推測不能なので。
Re:自分だけの冴えたやり方(のつもり) (スコア:1)
プライベート関連な事が多いが (スコア:0)
親族の誕生日や名前そんなに覚えてない
生まれ育った町とかにもそんなに興味無いので知らない
自分の子供の頃の事も同上
標的型だったら調べれば判るような物ばかりだから、「秘密の質問」はとても筋悪な手法だと思う。
一時流行った事が不思議なぐらいです。
Re:プライベート関連な事が多いが (スコア:1)
最近は質問自体を自分で入れさせるところがあって、質問の種類・大まかな趣旨だけでなく正確な表現まで覚えておかないといざという時に使えないのかと思うと絶望的。
Re: (スコア:0)
「暗証番号に生年月日や電話番号の下4桁を使うのはやめましょう」なんて
銀行とかで聞くベタな「せきりていきょういく」だと思うけど、
その内容を理解している者はいなかったわけだ。
どのサイトのどのIDで秘密の質問があったか、 (スコア:0)
まったく覚えていない。「母親の旧姓」とか近親者ならすぐにわかる答えを入れた記憶があるんだがまだ残っているなら消したい。
秘密の質問の設定を要求されたら (スコア:0)
質問とは全く関係ない答えを設定してますけどね。
Re:秘密の質問の設定を要求されたら (スコア:1)
まったく関係ないのは気持ち悪いから捻くれた回答してるな
Q:母親の旧姓は?
A:クラスメイトの可愛い子が一緒の姓で複雑な気持ちになった思い出がある
Re: (スコア:0)
結局質問とは全く関係ないパスワード入れるのが一番いいのよね。
ほんと無意味
Re: (スコア:0)
私の場合、めずらしい名字な上に父親が婿養子なので「お母さんの旧姓は?」にしたら、正解は逆に盲点になる上に、将来、加齢などでボケてもよほど酷くならない限りはその正解を忘れようが無い。
詐欺師 (スコア:0)
詐欺師ってどこでサンプル取ったんだろ。刑務所?
Re: (スコア:0)
向こうではどういう質問になっているのか知らないけど、本人の過去について本人より正解率が高いなんて詐欺師じゃなくてストーカーだよな
コストカット (スコア:0)
秘密の質問とは、パスワード再発行コストをカットしたいサービスベンダのためにあるのであって、
利用者側にとっては、パスワード以外にいわば余計な合鍵をもう一本作らされるようなものです。
パスワードと同程度のエントロピー (スコア:0)
秘密の質問ってパスワードと同程度のエントロピーのランダムな文字列にするのが常識なんじゃないの?
さすがに最近廃れてきたから、未だに求めてくるサイトはそれだけで要注意扱いにしてるけど。
Re:パスワードと同程度のエントロピー (スコア:1)
5月から秘密の質問を導入する三菱UFJ銀行さんが要注意だとぉ
https://www.bk.mufg.jp/houjin/mufg_biz_info/index.html [bk.mufg.jp]
Re: (スコア:0)
秘密の質問とかパスワード定期変更とか古いセキュリティの実装を禁止する仕組みが必要
Re: (スコア:0)
有名なサービスですが、確か10年くらい前まで、生年月日と秘密の質問に答えるだけでパスワードをリセットできるものがあった。
本人の知り合いであれば、生年月日は秘密ではない場合が多いし、秘密の質問も「出身地」は知っていることがある。
「初めて海外旅行に行った国」も、「初めての海外旅行人気ランキング」のようなリストをウェッブで調べれば、大体わかる。
#同僚から「パスワードが勝手に変更された」と連絡があって調べました。
Re: (スコア:0)
10年前はSSL保護すら普及していなかったですからね
2018年にもなってそれをやってる金融サービスがあったのは驚きでしたが
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]
質問にまともに書いたことは一度もない (スコア:0)
質問ですらパスワードやで。少し簡単になっとるけど。
秘密の質問 (スコア:0)
・チン長何センチ?
・下半身にほくろいくつある?
・オ〇ニーは年に何回する?
駄目だな。総当たりで簡単に突破できそう。
質問自体が秘密 (スコア:0)
どこのシステムだったか忘れたが、「秘密の質問」自体が秘密で、
「母親の旧姓は?」「初めて海外旅行に行った国は?」などといった項目から、以前自分が選んだ質問から選び、
さらにその答えを入力するというものがあった。
ムリです。