秘密の質問という脆弱性に今すぐパスワード帳で対策を
Webサービスのセキュリティ対策でよくある「秘密の質問」が、私は大嫌いです。何より、表記に揺れがある答えだと、正しい答えが分からず行き詰ることがままあります。
また逆に、「母親の旧姓」なんて調べればだれでも分かりそうです。また、、「初めて買ったアルバム(CD、レコード)」とかだって、ネットでどっかで書いているかもしれません。
そして、お父さんの母親の旧姓を知りたがる美少女写真のTwitterアカウントとかリアルにいそうで、いずれにしろ思い出しにくくて調べられやすいという困ったシロモノです。
この対策には「パスワード帳」を使って、英字、数字、記号が混じった十分に長いパスワードを入れる、のがお勧めです。パスワード帳は、物理的な紙のものでもいいと思います。安全で失くしにくい場所に置けば確実です。ローカルアプリでもいいのですが、パスワード付きExcelファイルのようなメジャーなものだとパスワード解析アプリとかで狙われる可能性もあります。
総当たり攻撃をやろうとしても、間違いの回数でロックできるWebサービスは、思いの外安全な場所だと思います。パスワードを取られるのが怖いという気持ちもわかりますが、ネットバンクにクレジットカードのネット決済など様々なサービスがネット上にある今、それだ怖がるのもバランスが悪いように思います。十分に安全な、使いまわしでない、パスワードで守られたパスワード管理サービスは十分な検討場所になるでしょう。
ともあれ、、「秘密の質問の答えも一種のパスワードにする」というノウハウは今後必須になるでしょう。誠ブロガーの島田さんも、パスワードという意識した設定にすることを推奨されています。
私もです。母親の旧姓が宇宙人的な名前になってますw RT @sakamotoh: パスワード管理アプリに、メモりながら、英字、数字、記号が混じったパスワードにしました。 RT @torshim そろそろ秘密の質問という脆弱性に突っ込みを入れた方がいい。リテラシーの高い人は誰も
— 島田徹 (plumsa,inc CEO)さん (@torshim) 10月 2, 2012
つまり、正直に母親の旧姓にするというのは危険で、せめてそれにちなんだパスワードにしておく、できれば使いまわしでない、サイトそれぞれのサブパスワード的なものを設定しておくのが理想です。そういうパスワードを記憶できるメソッドもあるそうですが、100とか200では済まない数になりそうな多数のパスワードの管理には忘れないようにメモる、できれば安全な方法でメモる をおすすめします。