実は危険な“秘密の質問”、Googleが研究結果を発表

　米Googleは21日、パスワード再設定時などに使われる“秘密の質問”（security questions）に関しての研究結果を発表した。Googleに対して実際に要求された数億件の事例を分析。秘密の質問単独での運用は安全ではなく、予備メールアドレスなどとの併用が重要だと指摘している。

安全な“秘密の質問”を（Google Online Security Blogより画像転載）

　秘密の質問は、ウェブサービスにおける緊急時の個人認証手段として普及している。しかし、簡単な質問では、一般的な知識や文化的背景をもとにすれば簡単に推定されうる。Googleによると、例えば、英語圏での「好きな食べ物は？」という質問には、1回の推測だけで答えが当たる確率は19.7％。同様に、10回の推測であれば、アラビア語圏の「最初の先生の名前」は24％、スペイン語圏の「父のミドルネーム」は21％の確率で当たってしまうという。

　一方で、難しすぎる質問にも問題がある。米国ユーザーの40％は、必要な時に質問の答を思い出すことができなかった。また、2つ以上の質問を設定することも弊害が多く、攻撃者が10回の推定で正解する可能性は1％だが、本来のユーザーが答を思い出せる可能性は59％にとどまってしまう。

　Googleではサイト運営者に対し、アカウント所有権の確認のための方法として、SMSや予備メールアドレスにバックアップコードを送信するなどの方法を並行して用意すべきたど説明している。