オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

パスワードも大切ですが、忘れたときの「秘密の質問」が簡単だと意味がない

»

わんとぴ」でセキュリティを担当してます。

昨日、 わんとぴ・ディズニー

例えばミッキーアイコンを使っている方なら、高い確率で秘密の答えがミッキーのはず。参考は@security_1topiの新倉さんblogを。 http://bit.ly/dlxc33 RT @fantasmickey_: どうしてですか?悪用とかされちゃうんですか?2010年7月5日 20時33分 OneTopi

を見たので、調べて見ました。

確かに、簡単な質問と答えのセットです。どれほど、パスワードを難しいものにしていても、質問と答えの組合せが簡単ならば、そこが弱点になってきます。とは言っても、メールで届くはずなので、多少なりとも大丈夫と思いますが、いろいろなWebサービスの中には、画面上で教えてくれるものもありました(最近はないと思いますが・・・)

これ、メールが受信できない場合や、登録時のメールアドレスが使えない場合など、とても便利な機能です。が、簡単にすればしただけ、強度も弱くなります。

このようなセキュリティにトレードオフは付きものですが、パスワードリマインダーの質問と答えのセットは、強弱がはっきりするトレードオフの1つでもあります。

何も、質問と答えは繋がらなくてもいいと思うのです。インターネット時代の自己防衛セキュリティ術を是非学んでください。

例えば、

質問に対して、素直に答えたいけど、答えにならない事例

サザエさんのイクラちゃん・オバQのO次郎の場合

イクラちゃんは、いつになったら大きくなるのだろう?と、本題でない永遠の疑問を思いつつ、ひとまず横に置いておいて。。。

セリフは、「う゛ぁぶぅ・・・」だけです。声に出せば多少の感情が入った「う゛ぁぶぅ・・・」になりますが、文字で入力すると、そのまんまです。何を聞いても、答えは「う゛ぁぶぅ・・・」だけ。

O次郎の場合、「バケラッタ」に変わるだけなので、これ以上の説明は不要かと・・・Wikipediaで調べたら、これ以外にもセリフがあることを発見!いろいろ勉強になります(笑)

じゃあ、ウルトラマンでもOK・・・って、これ以上書かなくても大丈夫な感じでしょうか(笑) 「シュワッチ」だけと思っていましたが、これもWikipediaによれば「シュワッ」ってのもあるようです。

これを答えに使っていいのか?と私も疑問に思う事例

マンボキングと言われる、ペレス・プラードの場合

ペレス・プラード凄いです。

有名なのは、マンボNo.5ですが、個人的にはNo.8がオススメです。

アァ~~~ッ・ウッ!」 これ、短い「ウッ」てのから、ため込んで「アァ・・・ウッ!」 気に入ったフレーズを好きな長さで使うことが出来ます。ポイントは、小さい「」をどこに入れるかと、「」を何個使うかです。数と文字のならびを覚えておかないと、「ウッ!」ってのしか思い出せないので注意が必要です(笑)

きっと役に立たないかもしれないけど、もしかしたら使えるかもしれない裏技

どんな質問の回答にも「ないしょ」とか「ひみちゅ」と書くのも1つの方法ですが、有効性と安全性に疑問があるので、自己責任でご利用下さい(自爆) 「言わない」「教えない」って昔とんねるずの石橋貴明さんが言っていたのを思い出します。

本当のオススメは、パスワードリマインダーで戸惑う「ひみちゅ」で書きましたが、絶対に誰にも言いたくない「ひみちゅ」ならば、どんな組合せでも「ばれること」はありません。しかし、情報漏洩や流出などで洩れてしまった場合は、「おまえ、そんなことがあったのか?」と、とんでもなく恥ずかしいことになりますので注意が必要です(爆) Web上だけで使う「秘密の答え」を1つ作ってもいいかもしれません。答えと回答に矛盾があっても、自分さえわかればいいのですから。。。

ちなみに、ここで書いてしまった「答え」が使えなくなってしまったことが唯一残念です←使っていたのか?と自己ツッコミw

ひみちゅカテゴリー

Hotmail の流出アカウントは安易なパスワードが原因?思い出す質問も要チェック!

Twitter のパスワードを勝手にリセットされたので、調べてみたら意外と簡単だったw

情報セキュリティ標語の「お」:思い出す、秘密の質問、バレてない?

Comment(0)

コメント

コメントを投稿する