秘密の質問、そろそろやめませんか?

ITコーディネータの吉田聖書よしだみふみです。

多くのITサービスで、パスワードを知らなくても
アカウントにアクセスできる可能性があるのをご存じですか。

それが俗に「秘密の質問」というものです。
今回はこの問題を取り上げたいと思います。

認証のトレンドは次々と変化していきます。
以前は辞書に載っていないような
ランダムな英数字や記号の組合せが推奨されていましたが、
今は辞書に載っているような単語で良いから
それらを組合せて長いパスワードを
設定することが推奨されています。

また、以前はパスワードを
無条件で定期的に変更することが要求されていましたが、
結局はどのパスワードを設定したか覚えられないので
単純なパスワードを設定しがちということで
漏洩事故等がない限りは変更する必要のない事が
アナウンスされています。

以前、パスワードにASCII以外の文字を使わせたらどうか
ワンタイムパスワードだけにしたらどうかという記事を書きました。
その続きで、ヤフージャパンが従来のパスワードを廃止したというニュースを紹介しました。

その記事の中で、
パスワードの使い回しについて触れました。
現在のところ最も大きなリスクは
パスワードの使い回しが原因で
次々と複数のサービスが第三者によって
アクセスされてしまうということです。

ところが、秘密の質問には
パスワードを全く使い回さなかったとしても
発生しうるセキュリティ上のリスクがあります。

それは何故か。
多くの場合、秘密の質問は
通常のIDとパスワードで認証できなかった場合に
代替の認証手段として使われたり、
あるいは試行の規定回数をオーバーしたことにより
アカウントがロックされてしまった場合に、
回復する手段として使われたりするからです。

つまり、正面玄関から入ることができなかったので
勝手口から入ろうということです。
これはアカウントの所有者本人だけではなく、
悪意を持った第三者にとっても同じ状況です。

秘密の質問の危険性と対応策については
多くのサイトで既に勧告がなされていますので
同じことを書くつもりはありません。
一つご紹介するとすれば、ちょっと古いですが
IPA(独立行政法人情報処理推進機構)の
「その秘密の質問の答えは第三者に推測されてしまうかもしれません」
が良くまとまっています。

私が懸念しているのはもうちょっと違う点です。

(1) オペレータは生データを見ているのでは?

これは、アカウントの回復手段として
コールセンターへの問合せ窓口を
設けているケースに当てはまることです。

電話口でオペレータに
秘密の質問の答えを伝え、
それが予め登録されている答えと照合され
合っていれば認証OKということで
アカウント回復の手続きに進むというものです。

オペレータが答えを照合できるということは、
少なくともオペレータには答えが見えているということ。
もし、他のサービスで同じ秘密の質問が設定されていた場合、
オペレータはその質問をクリアできる可能性があります。
そのオペレータが不正アクセスを行わなくても、
その情報が外部に漏洩するリスクはあります。

(2) 結局のところ管理台帳が必要なのでは?

ということは、やはりIPAが推奨するように
同じ秘密の質問だったとしても、
サービスごとに登録する答えを変える必要が出てきます。

よく、嘘の答えを設定するという
テクニックが紹介されています。
それも良いのですが、
複数のサービスで同じ文言を登録すると
使い回しと同じ状況になりますので、
いずれにせよサービスごとに文言は変えないといけない。

併せて、どの質問を選択したか、
サービスによっては
質問自体をフリー入力にするところもあり、
こうなってくると
全てを暗記して運用するのは
もはや不可能であることが想像できると思います。

サービス提供者は、
自サービスの事しか考えませんので
パスワードを紙やファイルなどに
記録することを禁止したがります。

しかし、サービス利用者としては
何十個とサービスを利用しているわけですから、
それらをすべて頭の中で管理できないということに
想像を巡らして欲しいなと思います。


弊社の別ブランドで
パスワード管理アプリを提供しています。(iPhoneのみ)
無料のアプリなので
なかなか機能追加や要望に対応できていませんが、
まだ新しい画角に対応していないので
そろそろバージョンアップを検討しています。

Quick Password Safe



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.