2013年09月07日

「秘密の質問」の困ったところ

ユーザIDやパスワードなどと一緒に、「秘密の質問」を登録させられるサイトがあります。
よく「母親の旧姓は?」とか「通っていた小学校の名前は?」とか訊いてくるアレです。

で、この前とあるサイトに登録しようとしたところ、非常に良くない「秘密の質問」を見つけたので紹介したいと思います。
このサイト、秘密の質問は用意されている5つから選ぶ形式なのですが、この質問がどれも微妙なのです。

・あなたの飼っているペットの名前は?(飼っていないので選べない)
・あなたの好きな果物は?(たくさんありすぎて覚えられない)
・あなたの好きなスポーツは?(とくにないので選べない)
・あなたの趣味は?(たくさんありすぎて覚えられない)
・あなたの尊敬する人は?(たくさんありすぎて覚えられない)

用意されている質問全てが、「秘密の質問」として不適切なのです。
このテの質問というのは、答える時に思い出せないと意味がありません。つまり、答えが2つ以上ある「質問」は不適切です。
4つ以上あるなら尚更です。
しかもこういうのに限って、3回間違えたらロックされて入力できなくなったりするのです。

また、入力した文字を覚えないといけないものも不適切です。
例えば「りんご」1つを取って見ても、「りんご」「リンゴ」「林檎」と3種類あります。
「尊敬する人」の質問で答えが例えば父親だった場合、「父」「父親」「親」「父親の下の名前(平仮名・カタカナ・漢字の3パターン)」「父親のフルネーム(姓名の間にスペースなし/半角スペースあり/全角スペースありの3パターン)」とまあ結構な数になってしまいます。
(そのため、秘密の質問を自由に設定できるサイトでは、質問文に「ひらがなで」とか書いたほうがいいと思います。)

あと、よくある「母親の旧姓は?」とか「卒業した小学校の名前は?」なんかも問題です。
なにしろこれは、調べれば分かるのです。
完全にネットでしか会わない相手や、面識のない人なら破れないかもしれません。が、リアルで知っている人なら調べることは可能です。
特に卒業した小学校とかは、(引っ越していない場合)住所さえ分かれば比較的簡単に調べられます。その小学校の同級生とかなら尚更です。

さらに、「好きな果物」とか「好きなスポーツ」とかも良くない質問です。
ブログとかを見れば分かる。とかいう以前に、果物やスポーツの種類なんてものは数が限られています。
パスワードを破る手口に「辞書アタック」というのがあって、辞書に登録されている言葉を片っ端から試すという手口があるのですが、これを試されると簡単に破られてしまうでしょう。
先ほど「3回間違えたらロックされて〜」と書きましたが、そういう対策をしていないサイトもありそうですし、そもそもクラッカーはIPアドレスを変えながら攻撃を仕掛けるので、ロックしても無意味です。(ID単位でロックされた場合も次のIDに移れば問題ありません。極端な話、全てのIDで答えに「野球」「サッカー」「テニス」とか「佐藤」「鈴木」「田中」のような有名な答えを入力していけば、いつかは当たります。)

まあ、きちんとしたサイトなら、「秘密の質問に答えれば、登録しているメールアドレスにパスワードを送ります」という仕組みになっているので、破られても問題はないのですが、「どれを答えにしたのか思い出せない」という問題はどうにもなりません。

‥‥とまあ、セキュリティが強固なように見えて、実はあまり役に立たない「秘密の質問」について書いてみました。
まあ、秘密の質問システムを導入しておけば「パスワードを忘れたのですが」という問い合わせが減るので、サポートする側としては十分効果があるのでしょうけど、使う側にとってはなんだかなぁと思ってしまうのです。
posted by TCT at 16:58| Comment(0) | 主張とか
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: