ニュース

実は危険な“秘密の質問”、Googleが研究結果を発表

 米Googleは21日、パスワード再設定時などに使われる“秘密の質問”(security questions)に関しての研究結果を発表した。Googleに対して実際に要求された数億件の事例を分析。秘密の質問単独での運用は安全ではなく、予備メールアドレスなどとの併用が重要だと指摘している。

安全な“秘密の質問”を(Google Online Security Blogより画像転載)

 秘密の質問は、ウェブサービスにおける緊急時の個人認証手段として普及している。しかし、簡単な質問では、一般的な知識や文化的背景をもとにすれば簡単に推定されうる。Googleによると、例えば、英語圏での「好きな食べ物は?」という質問には、1回の推測だけで答えが当たる確率は19.7%。同様に、10回の推測であれば、アラビア語圏の「最初の先生の名前」は24%、スペイン語圏の「父のミドルネーム」は21%の確率で当たってしまうという。

 一方で、難しすぎる質問にも問題がある。米国ユーザーの40%は、必要な時に質問の答を思い出すことができなかった。また、2つ以上の質問を設定することも弊害が多く、攻撃者が10回の推定で正解する可能性は1%だが、本来のユーザーが答を思い出せる可能性は59%にとどまってしまう。

 Googleではサイト運営者に対し、アカウント所有権の確認のための方法として、SMSや予備メールアドレスにバックアップコードを送信するなどの方法を並行して用意すべきたど説明している。

(森田 秀一)