こんにちは、システムエンジニアの大貫です。

前回、「パスワードを定期的に変更してはいけない」というブログを書きましたが、
そこで書いてあるようなパスワードに変更したとしても、パスワードが安易に破られる場合もあります。

それは、「秘密の質問」です。

パスワードばかりに目が行きがちですが、サイトに会員登録するとID、パスワードを決めた後に
「秘密の質問」を入力する欄が出てくる場合があります。

「秘密の質問」とは、パスワードを忘れた場合の予防策として用意されているので、
大抵、ペットの名前や、母親の旧姓、小学校名などから質問を選択して、
答えを記入すると、それがパスワード代わりになるというものです。

でも、考えてみてください。

ペットの名前、母親の旧姓、小学校名・・・この情報って絶対に本人しか知り得ない情報でしょうか？
SNS場に載っているかもしれませんし、知人なら知っている可能性もあります。。。

googleが「秘密の質問」が突破される確率を検証したところ、なんと1回の憶測だけで約20%の確率で
突破される可能性があるということでした。

「秘密の質問」は入力しないで良いのであれば、入力しないほうが良いのですが、必須入力となっている場合もあります。

その場合、IPAでも言われていることですが、「本来の答え」に自分しか知らない「共通フレーズ」を追加して
第三者に推測されにくい「答え」を登録すると良いらしいです。

例えば、以下の質問と答えがあったとします。

質問：小学校名は
答え：宇都宮小学校

ここに、「デス！間違いないです！」という共通フレーズを追加すると。。。

質問：小学校名は
答え：宇都宮小学校デス！間違いないです！

となって、自分は覚えやすいのに、文字数や文字種を増やすことが出来て、
相手の小学校を知っている人が、ハッキングしようとしたとしても憶測されにくい
本当の意味での「秘密の質問」となるわけです。

サイトの改善に向けたご相談など、サイト制作に関わることについては、是非マリンロードへご相談ください。