秘密の質問の答えはパスワードのように扱うべき？

秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。　スラドのコメントを読む | セキュリティセクション | セキュリティ | スラドに聞け！

　関連ストーリー：
米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 2016年09月27日
ありがちなパスワードを「強い」パスワードと判断してしまうパスワード強度メーター 2016年08月26日
米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 2016年06月28日
JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される 2016年02月03日
ask.fmを使った「秘密の質問」に対するソーシャルエンジニアリング攻撃 2015年07月09日
家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 2015年07月02日
「秘密の質問」には根本的欠陥があるという分析結果をGoogleが発表 2015年05月22日
Apple、iCloudからの写真流出事件について「システムに欠陥はない」と主張 2014年09月04日
イオン銀行が「秘密の質問」を導入 2014年03月26日
「秘密の質問」をネット上でカジュアルに聞き出そうとする試みに注意 2014年03月03日
ニフティに不正ログイン、会員情報閲覧の可能性 2013年07月20日
Yahoo! JAPANの「秘密の質問」がIDと共に流出 2013年05月24日
秘密の質問経由で不正アクセスした中学生 3 人、書類送検される 2012年12月17日
米Blizzard Entertainmentのサーバー、不正侵入される 2012年08月11日
パスワード再発行に必要な「秘密の質問」は役立たず 2012年08月10日
パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 2011年01月18日
オバマ大統領の Twitter アカウント、ハックされる 2010年03月29日