パスワードを忘れた? アカウント作成
10727561 story
セキュリティ

「秘密の質問」をネット上でカジュアルに聞き出そうとする試みに注意 64

ストーリー by hylom
ネット上では嘘の人格を作るしか 部門より
insiderman 曰く、

「あなたはどこで生まれましたか?」という質問に答えることがセキュリティリスクになる、という話が話題だ(Askの本日の質問が危ない — Togetterまとめ)。

利用にログインが必要になるようなサービスでは、パスワードを忘れた際の対策として「出身地」や「好きな食べ物」「母親の旧姓」といった、「秘密の質問」を設定できるようになっているものがある。「あなたはどこで生まれましたか?」という質問に答えてしまうと、このような「秘密の質問」の答えを提供してしまうことになる可能性があるという話だ。「秘密の質問」の危険性については以前から議論されているが、最近はますますネットで気軽にコミュニケーションを取れるようになっているため、より危険性が増しているのかもしれない。

対策としては、「秘密の質問」には正直に回答を設定せず、必ず嘘の回答を設定するようにするというものがある。何を設定したか忘れてしまうというデメリットもあるが、皆様試してみてはいかがだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2014年03月03日 13時08分 (#2554844) 日記

    とにかくランダム且つ長い文字列を入れる。
    二つ目のパスワードに、わざわざ脆弱なモノを使うのは何か嫌。

    • by 90 (35300) on 2014年03月03日 16時00分 (#2555011) 日記

      自然言語で答えられるわけでもなく完全一致を要求されるので、パスワードと同じ基準で作るしかないですよね。元はパスワードリカバリ用の手段なんでしょうけど、パスワードそのものとして運用されてるし…

      親コメント
    • by camelus (41736) on 2014年03月03日 14時12分 (#2554890) 日記

      私の飼っているペットの名前は
      {1fe18727-0bf7-4fe3-b646-0ace78cd0822}
      です。
      あ、悪用しないでよねっ!

      親コメント
    • by Anonymous Coward on 2014年03月03日 22時20分 (#2555332)

      「秘密の質問」は、パスワードを忘れた場合の救済手段として用意されていることが多く、
      その場合には(パスワードを忘れないことを前提に)「秘密の質問」への答えを忘れてもいいですが、
      たまに、パスワードに加えて「秘密の質問」への答えを要求するサイトがあって、
      その場合には、忘れてはいけないです。

      (たんにパスワードがふたつに分割されてるだけ、ということだと思うんだけど)。

      親コメント
  • 「あなたのペットの名前は?」
    「決算大バーゲン祭」

    「あなたのお母さんの旧姓は?」
    「決算大バーゲン祭」

    「あなたの・・・

  • ×対策としては、「秘密の質問」には正直に回答を設定せず、
    ○対策としては、「秘密の質問」設定は認証に採用しないで、

    セキュリティリスクって元からなんとかしない(絶たない)とダメだよね。
    #じゃぁどうするかはまた別のお話

    そういうのは毎回嘘ついて回避してるけど、その嘘を忘れそうになるという鶏頭。

    • by Anonymous Coward

      忘れてもいいんじゃない?
      普通のパスワードなくさなきゃいいんだから。

      私は、ランダムな長い文字列を入れて、そのままそれは忘れるようにしてる。
      「秘密の質問」でパスワードを取得できるようなサービスは
      使えなくなっても大して困らないものばっかりだから問題ない。

      • そうそう、「私を生んだのは姉だった」とか出鱈目な文字列を入れて存在そのものを忘れるのが一番。
        忘れとかないと「だから秘密の質問はやめろって(イラ」と精神衛生上よろしくない。

        iOSアプリを開発する関係でAppleIDを登録したときは、万が一パスワードを忘れたら困るので、
        ランダムな文字列を入れて、(パスワードと一緒に)パスワード管理ソフトに保存しましたが。

        # 秘密の質問て、結局、「ヒントつきで文字制限のゆるいパスワード」なわけで、
        # 「あああ」みたいに適当すぎるのはだめじゃないかと思うのは私だけ?

        --
        svn-init() {
          svnadmin create .svnrepo
          svn checkout file://$PWD/.svnrepo .
        }
        親コメント
      • by Anonymous Coward

        金融系のサービスに秘密の質問が多いよ。
        その辺は使えなくなるとかなり困る。
        普通のパスワードなくさなきゃいいのは同意。

        • by Anonymous Coward

          金融系だったら直接窓口行って本人確認すればなんとかなったりするんじゃないですかね…
          ものすごく面倒くさそうだけど。

          • by Anonymous Coward

            昼勤のサラリーマンは窓口行ってる時間無いしね。

            身近なとこだと、ゆうちょダイレクトはログインするときに定期的に秘密の質問を聞いてくる。
            何とかして欲しいとこだが、ゆうちょ口座自体は便利だからなあ。

        • by Anonymous Coward

          三井住友も東京三菱もみずほもそんなの設定した覚えがない。
          まぁランダム文字列設定してそのまま忘れてるだけかもしれないが、
          それで困ったことはまだないなぁ。

          • りそな銀行では秘密の質問を三つと秘密の画像を一つ設定する必要がありました。
            # パスワード本体と秘密の質問の回答には /dev/random から取り出した数値を
            # 文字列化して使用しているので、そこそこ安全なはず。
            親コメント
          • by Anonymous Coward

            ごめん、多いとは言い過ぎた。
            幾つかの銀行とカード会社だね。

      • by Anonymous Coward

        ゆうちょとか、ID/パスワード認証の後に更にひみつのしつもんに答えないといけないのとかあるし。
        そんなのするくらいなら、最初からパスワードの文字数を20~30桁位にしておけよといつも思う。

  • 私の「秘密の質問」は高校時代の出席番号とか、子供の頃飼っていた犬の名前とか、私の生い立ちを知らないと分からない(多分関係者も忘れている)ものです。鉄壁じゃないけれど、出生地とか公的な記録(生年月日など)からは導きだされないですね。
    もっと安全なネタがあったらぜひ知りたいと思います。
    • たとえばファーストメモリーがらみは、話しのネタになることがあまりないうえに、忘れにくいエピソードだからそれなりに有効かと。
      (例題)自分の最古の記憶は?(答:編み機をいじっていた)
      ちなみに上の例題はポケモンでおなじみの田尻智氏 [wikipedia.org]のファースト・メモリーなのだそうだ。

      あるいは、大人の感覚から想像できないような、子供時分ならではの奇妙な紐づけを問題にするとか。
      例えば、「猫といえば何?」というほとんど禅問答のような質問にすれば、その当人にしか絶対に到達しえないだろうし、
      親しい人は勿論のこと、まして会ったことのない人から上記質問をされたら、反射的に本物以外の無難な回答をするよね。

      余談だけど、大昔のリマインダーに「初めて乗った車は?」の設問に対して「ミツルハナガタ2000」と設定したことがあったけど、今思い返すと、本当に危なかったなあ。

      #秘密の質問を必須にしているところに限って、出題が選択式になっていて、アレンジをかけにくいのには閉口する。

      --
      言葉に貴賎なし、辞書に聖杯なし
      親コメント
      • by Anonymous Coward

        だから、どんな秘密の質問なら安全かという話題じゃないのですよ。

        例えば/.に「あなたのファーストメモリーは?」なんて投票が立ったら迂闊に答えちゃうんじゃないの、って話。

    • by Anonymous Coward

      >子供の頃飼っていた犬の名前とか

      タレコミリンク先で「それ、アウト」の例に入ってますよ。

      • だいじょうぶだと思います。犬なのに人間っぽい名前を付けてましたから。
        # そういう問題じゃない?
        親コメント
        • ソーシャルエンジニアリングの対象になる、という話なので
          公的記録から調べにくいとか推測しにくいは関係ないんじゃないですかね。
          タレコミ的には「Askの質問に紛れこませやすいかどうか」であって。

          タレコミにはないけど、主旨だけ取り出してソーシャルエンジニアリングで広げるなら、
          ネットで知り合った異性(同性でもいいけど)とチャットしてて「ペットの話」から自然に会話を広げて得られる範囲のキーワードってことで。

          結局、質問とは無関係でそれなりに長いワード、ってのが一番良い気がするけどなあ
          親コメント
        • by Anonymous Coward

          えと、今回のストーリーをまるで理解されていない、ということはわかりました。

  • by Anonymous Coward on 2014年03月03日 15時29分 (#2554986)

    誰だよあんなアホなものを勧めてるのは

    • by Anonymous Coward

      メールアドレスの二度入力とともに消え去って欲しい文化

  • by Anonymous Coward on 2014年03月03日 13時47分 (#2554871)

    秘密の質問とか逝ってるけど
    そもそもこれ自体になんのセキュリティにもなって無いんじゃね?

    アカウントから発信する情報で、発信した本人                                                                すら特定できずにガードが薄くなっていく的な?
    むしろファッカーにアタックしやすい入口与えてるだけじゃね?
    こういうのってセキュリティホールって岩内東山円筒土器文化遺跡の?

    • by Anonymous Coward

      利便性と脆弱性は時に相反するけど、この場合は脆弱性が増す危険の方がずっと大きいよね。

      まあ、一般ユーザーってのは、それこそ普通の人で、守っている側も多少専門家といっても
      たいていは良くて100人に一人のレベル。でも攻める側は、1万人に一人とか、100万人に一人と
      いったレベルの知恵や知識や行動力を持っていたりする。

      自分の管理しているサイトのサービスを充実したいという気持ちも判らんでもないが、
      こういうセキュリティを台無しにしかねない仕組みは止めるべきだよね。講習会とか
      あるなら先ずこういう点を教えなくちゃ。

  • by Anonymous Coward on 2014年03月03日 14時15分 (#2554897)

    秘密というからバレる。
    この例 [mie-u.ac.jp]のように・・・

  • by Anonymous Coward on 2014年03月03日 14時20分 (#2554904)

    この手の秘密の質問って、そんなに役に立ってるのかなあ?

    自分の場合、パスワード以外にメモしなきゃいけない事柄が増えて面倒くさいだけだ。

    ・どの質問を選んだか
    ・どういう回答を書いたか

    パスワードはちょくちょく使うから覚えてるけど
    秘密の質問で何を選んでどう答えたか覚えてないってこともあって、
    これって本末転倒じゃねーかと思うことも多い。

    だからたいてい手帳みたいなのにメモしとくんだけど、
    どっちみち紙のメモに詳しく書いておくなら
    この手の質問自体が不要だし。

    • by Anonymous Coward on 2014年03月03日 21時49分 (#2555311)

      「ひみつの質問」って大概がセキュリティを向上させる事が目的ではなく、
      「パスワード忘れちゃったんですけど」というユーザーからの問い合わせに応対する
      手間を省くために導入されていますよね。

      要するにセキュリティを下げてでも運用コストを削減するのが目的なのですから
      そういう処は「セキュリティが低くなるだろ」と文句を言っても知った事かと…いえ
      「貴重なご意見ありがとうございました」とスルーされるだけです。

      親コメント
  • by Anonymous Coward on 2014年03月03日 14時43分 (#2554922)

    私の利用しているサービスだと。
    そもそも設問自体が作れるようになっているので
    「Q:あにょ~ん?」
    というよくわからん質問に答えさせられるわけですが。
    (ネタはわかるでしょうが答えは、ほぼ出てきません)

    設問が決められているのと、設問をユーザーが決められるの。
    比率はどのぐらいなんでしょうかね?

    # 設問自体作れると設問に答えを書く人いるかもしれんけど。それは自業自得よね。

    • by Anonymous Coward

      オリジナルの設問を作って、それに対する回答も覚えておくのは
      パスワード覚えておくより難易度高そうな気もするのですが。

    • by Anonymous Coward

      質問:3 以上の自然数 n について、x^n + y^n = z^n となる 0 でない自然数 (x, y, z) の組が存在しない事を示せ

      答え:この質問に関して、私は真に驚くべき証明を見つけたが、この入力欄はそれを書くには狭すぎる。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...