NDS編集長の通称「私」がキニナルものやニュースを勝手にゴリ押し

NDS編集長のまとめニュース

「秘密の質問」には欠陥あり!Googleが分析結果を発表!WEBサイトのログインパスワード再設定などに使う「秘密の質問」は第三者に予測されやすい

   

「秘密の質問」には欠陥あり!Googleが分析結果を発表!WEBサイトのログインパスワード再設定などに使う「秘密の質問」は第三者に予測されやすい

Googleは、数百万件のGoogle Accountの復旧要求に使われた数億件の「秘密の質問」とその「答え」を分析した。その結果から、「秘密の質問」は根本的な欠陥を抱えているとの結論が得られという。根本的な欠陥とは、「答え」の安全性と覚えやすさが両立することはまずない、という点。本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。

スポンサーリンク


  こんな記事もよく読まれています

%e6%bc%a2%e5%ad%97-%e4%b8%80%e6%96%87%e5%ad%97-%e8%b4%88%e3%82%8b
漢字一文字で気持ちを贈る〜漢字に込めたあなたの思いとは…

日本には様々な意味を持つ漢字があります。漢字一文字の中に込め...

%e6%96%b0%e7%94%9f%e5%85%90-%e3%83%a2%e3%83%ad%e3%83%bc%e5%8f%8d%e5%b0%84-%e5%a4%9a%e3%81%84
新生児期に見られるモロー反射が多い時の対処法と注意点

新生児期の赤ちゃんにはモロー反射という原子反射が見られます。...

28%e6%ad%b3-%e8%b2%af%e9%87%91-500%e4%b8%87
28歳の貯金額はどのくらい?500万円貯めるためには?

社会人になって会社にも慣れ、そろそろ肩書きが付いてくる場合も...

4%e3%83%b6%e6%9c%88-%e8%b5%a4%e3%81%a1%e3%82%83%e3%82%93-%e3%83%95%e3%82%9a%e3%83%ac%e3%82%bb%e3%82%99%e3%83%b3%e3%83%88
生後4ヶ月のママ&赤ちゃんにプレゼントするなら何が良い?

産後、ママが里帰り出産から帰ってきて、母子ともに身体と生活リ...

%e4%b8%ad%e5%ad%a6-%e6%81%8b%e6%84%9b-%e5%8b%98%e9%81%95%e3%81%84
思わせぶりや好き避けも!中学生に良くある恋愛の勘違い

中学生の頃って、特に女子は恋愛話に花を咲かせていた時期ですよ...

%e4%b8%ad%e5%ad%a6%e6%a0%a1-%e9%83%a8%e6%b4%bb-%e3%83%8f%e3%82%99%e3%82%b9%e3%82%b1
中学校の部活はバスケ部に入部したい子を持つ母の為の情報!

中学校に入ると部活に入部すれば人間関係や経験が広がります。 ...

%e9%98%b2%e6%b0%b4-%e3%82%ab%e3%83%a1%e3%83%a9-%e4%bd%bf%e3%81%84%e6%8d%a8%e3%81%a6
海のレジャーで写真を撮る!防水カメラを買うなら使い捨て?

秋冬でもハワイやグアム、沖縄でもマリンレジャーを楽しみたい!...

%e5%ad%90%e4%be%9b-%e5%8f%8b%e9%81%94-%e7%84%a1%e8%a6%96
子供が友達から無視されている時、親としてどうすればいい?

子供が友達から無視されていることが分かったら、親としてどうす...

33%e6%ad%b3%e3%80%80%e8%b2%af%e9%87%91%e3%80%80500%e4%b8%87
33歳で貯金が500万円は多い?少ない?貯めるコツは?

趣味のため、結婚資金、子どもの教育費、老後の生活にあてるため...

%e5%b9%b4%e9%87%91%e3%80%80%e6%94%af%e6%89%95%e3%81%84%e3%80%80%e3%81%84%e3%81%8f%e3%82%89
年金の支払いっていくらなの?年金について知っておこう

年金について、ニュースなどで取り上げられることもしばしばあり...

30%e6%ad%b3-%e8%b2%af%e9%87%91-500%e4%b8%87
30歳で貯金500万!?みんなの現状と貯める為のポイント

将来や老後の事を考えると、やはり先立つものはお金です。 余...

%e8%82%ba-%e3%83%ac%e3%83%b3%e3%83%88%e3%82%b1%e3%82%99%e3%83%b3-%e7%99%bd%e3%81%84%e7%82%b9
肺がんの可能性も!レントゲンにうつる白い点の原因は…

健康診断を定期的に受けている方は1年に1度はレントゲンを撮る...

%e7%94%b7%e6%80%a7%e3%80%80%e8%ba%ab%e9%95%b7%e3%80%80%ef%bc%91%ef%bc%96%ef%bc%95
男性の理想の身長は何センチ?165センチは低い?

皆さんは理想の身長は何センチですか?
私は女性です...

%e3%83%8f%e3%82%99%e3%83%88%e3%82%99%e3%83%9f%e3%83%b3%e3%83%88%e3%83%b3-%e7%b7%b4%e7%bf%92-%e4%b8%80%e4%ba%ba
バドミントンの技術を上げたい! 練習は一人でできる?

オリンピックでは女子バドミントンのタカマツペアが活躍し、バド...

%e5%a4%aa%e3%82%82%e3%82%82-%e5%a4%96%e5%81%b4-%e7%97%a9%e3%81%9b
スラッとした足に!太もも外側のお肉を取って痩せる方法

足が隠せる季節になっても、スキニーやスパッツを合わせると容赦...

%e5%be%80%e8%b7%af%e3%80%80%e5%be%a9%e8%b7%af%e3%80%80%e7%b7%8f%e5%90%88
箱根駅伝。往路優勝+復路優勝=総合優勝が正しいのか

お正月、楽しみなのが箱根駅伝です。
毎年、つい夢中...

%e5%bd%bc%e5%a5%b3%e3%80%80%e6%97%85%e8%a1%8c%e3%80%80%e8%b2%bb%e7%94%a8
彼女との初旅行。旅費は?最高の旅行にするために。

彼女と初めて旅行に行くことになりました。
楽しみで...

%e3%82%b5%e3%83%bc%e3%82%af%e3%83%ab-%e5%90%88%e5%ae%bf-%e8%a1%8c%e3%81%8d%e3%81%9f%e3%81%8f%e3%81%aa%e3%81%84
サークルの合宿に行きたくない…参加するメリットと欠席理由

大学のサークルにはいると、飲み会や会合などの活動などが盛んに...

%e5%8f%b3%e6%8a%98%e3%80%80%e4%ba%a4%e5%b7%ae%e7%82%b9%e3%80%80%e5%81%9c%e8%bb%8a%e4%bd%8d%e7%bd%ae
知ってる?交差点、右折の時の停車位置

運転する皆さん、特にあまり運転が得意ではない皆さん。

%e8%bb%8a-%e3%83%86%e3%82%99%e3%82%a3%e3%83%bc%e3%83%a9%e3%83%bc-%e5%a5%bd%e3%81%8d
自動車のディーラーで働きたいけど、好きで務まる仕事?

自動車が好きな人なら、一度はディーラーで働きたい!と憧れるこ...

スポンサーリンク

(財経新聞)「秘密の質問」には根本的欠陥があるという分析結果をGoogleが発表

Googleは、数百万件のGoogle Accountの復旧要求に使われた数億件の「秘密の質問」とその「答え」を分析した。その結果から、「秘密の質問」は根本的な欠陥を抱えているとの結論が得られという。

 根本的な欠陥とは、「答え」の安全性と覚えやすさが両立することはまずない、という点。本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。

 また、国によって人名や好きな食べ物や出身地が偏っている、といった理由で答えの推測がしやすい点も問題である。たとえば、英語ユーザーでは「What is your favorite food?(好きな食べ物は?)」の質問に対し、1回の試行で19.7%が突破できてしまう。その答えは「pizza(ピザ)」だ。ほかにも、いくつかの言語圏においては特定の質問に対して10回の試行で高確率に正解できる(つまり、上位10解答の割合が高い)例が示されている。

 質問に対して(覚えやすい)偽の答えを登録しているユーザーもいる。電話番号と「What’s your frequent flyer number?(マイレージサービスの番号は?)」の答えが同じであるような例だ。しかし、こうして同じ偽の答えが使いまわされていれば、攻撃者が正解する確率を高める結果となる。「正しい」答えの推測が困難な質問でも、何か既知の情報で答えれば正解する率が上がるということだ。

 そして、難しい答えはしばしば本人も忘れてしまう。米国内の英語ユーザーのうち40%は秘密の質問を思い出すことができなかったという。また、安全であると期待される質問での解答率はさらに低かったそうだ。

 それでは、複数の質問に答えさせるのはどうか。これは確かに攻撃者が突破できる率を低下させるものの、ユーザーが答えを忘れてしまう率をより高める。

 Googleは、ユーザーとWebサイト所有者は、「秘密の質問」を使うことを考え直すべきだと述べている。そしてアカウント復旧のための本人確認にはSMSや予備のメールアドレスなどの手段を利用し、「秘密の質問」はそれらが使えない場合の最後の手段とすべきだ、としている。

引用元-−-財経新聞

(INTERNET Watch)実は危険な“秘密の質問”、Googleが研究結果を発表

米Googleは21日、パスワード再設定時などに使われる“秘密の質問”(security questions)に関しての研究結果を発表した。Googleに対して実際に要求された数億件の事例を分析。秘密の質問単独での運用は安全ではなく、予備メールアドレスなどとの併用が重要だと指摘している。

秘密の質問は、ウェブサービスにおける緊急時の個人認証手段として普及している。しかし、簡単な質問では、一般的な知識や文化的背景をもとにすれば簡単に推定されうる。Googleによると、例えば、英語圏での「好きな食べ物は?」という質問には、1回の推測だけで答えが当たる確率は19.7%。同様に、10回の推測であれば、アラビア語圏の「最初の先生の名前」は24%、スペイン語圏の「父のミドルネーム」は21%の確率で当たってしまうという。

 一方で、難しすぎる質問にも問題がある。米国ユーザーの40%は、必要な時に質問の答を思い出すことができなかった。また、2つ以上の質問を設定することも弊害が多く、攻撃者が10回の推定で正解する可能性は1%だが、本来のユーザーが答を思い出せる可能性は59%にとどまってしまう。

 Googleではサイト運営者に対し、アカウント所有権の確認のための方法として、SMSや予備メールアドレスにバックアップコードを送信するなどの方法を並行して用意すべきたど説明している。

引用元-−-INTERNET Watch

(ITpro)パスワード再設定の際の「秘密の質問」は推測可能 — 調査で明らかに

忘れてしまったパスワードを再設定する際に使われる「秘密の質問」は,実際問題としてどの程度秘密のものなのだろうか。「It’s no secret: Measuring the security and reliability of authentication via ‘secret’ questions」(秘密とは言えない:「秘密の」質問を通じた認証のセキュリティと信頼性の測定)と題した,つい先日発表された研究結果によれば,結局は,さほど秘密とは言えないようだ。この調査によれば,被験者の17%は他人の「秘密の質問」に答えることができただけでなく,もっとも一般的な質問が,もっとも答えやすい質問でもあったことがわかった。

 以下に示すのは,2009年のIEEE Symposium on Security and PrivacyでStuart Schechter氏,A. J. Bernheim Brush氏,Serge Egelman氏によって発表されたこの研究の概要だ。

 われわれは,4つのウェブメールプロバイダすべてで使われている質問の信頼性とセキュリティを計測するユーザー調査を実施した。われわれは被験者に質問に答えるように求め,被験者の知人に彼らのパスワードを推測するよう求めた。被験者が自分のウェブメールのパスワードを知られたくないと報告した知人は,彼らの答えの17%を推測することができた。さらに,他の参加者の間でもっとも一般的な答えを使うことで,13%の答えを5回以内の試行で推測することができた。ただし,この弱さの原因の一部は,今回の被験者群の属性が地理的に均質であったことに起因する。

 さらに,「秘密の質問」の覚えやすさを検証したところ,この130人の被験者(男性64人,女性66人)を対象としたユーザー調査によって,推測が難しい質問は覚えにくい質問でもあることがわかった。

 最近行われた同様の2つの調査が,これらの調査結果を裏付けている。たとえば,「Choosing Better Challenge Questions」の中で,Mike Just氏とDavid Aspinall氏は,ユーザーはエントロピーの低い答えを好む傾向があり,このことが全数攻撃に対する潜在的な脆弱性となっていることを発見している。また,この2人の研究者は,2つめの調査「Challenging Challenge Questions」でも同じ結論を導いており,答えの平均的な長さが8文字未満であることを考えると,1つの秘密の質問だけに頼っている認証システムは,全数攻撃に対して非常に脆弱であると指摘している。

 秘密の質問に対する全数攻撃は実現可能な攻撃方法だが,実際の攻撃はもう少し現実的なやり方を取っている。Web 2.0世界では潜在的な被害者の大多数が,無意識あるいは意識的に,ウェブ上に秘密の質問の答えを掲載してしまっているためだ。

 その代表例を挙げてみよう。現実の事件で,彼らの結論が実際に通用することが確認されている。例えば,Sarah Palinアラスカ州知事の事件のハッカーは,Googleの検索を使うことによって,彼女の「秘密の質問」の答えを推測してパスワードをリセットすることに成功した。その後,過去1年間の間に,Twitterの従業員を狙った似たようなパスワード再設定攻撃が2件起きている。さらに,営利目的の「パスワード回収サービス」や,電子メールハッキングサービスの広告は,単純なマルウェア感染攻撃や特定のウェブベースの電子メールサービスプロバイダに対するXSS脆弱性を悪用する攻撃の他に,他にパスワード再設定攻撃を利用している。

 これらの結論と,秘密の質問のセキュリティに対するエンドユーザーの誤った評価,質問の答えがすでに公になっていることなどを併せて考えると,秘密の質問が「あなたの新婚旅行の場所はどこですか」というものである場合は,2年前のパリでの新婚旅行が楽しかったという話をTwitterでするのはよした方がいい。もちろん,その場合は自分でもこの質問には正しく答えられるだろうが。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。

引用元-−-ITpro

(ITmedia)「秘密の質問」が突破される確率は? Googleが調査

「最初のペットの名前は?」「好きな食べ物は?」「母親の旧姓は?」――。オンラインサービスのパスワードを忘れて復旧する時のために登録しておくそんな「秘密の質問」は、セキュリティ対策としては「根本的な欠陥」があるという研究結果を米Googleが5月21日に発表した。

 こうした質問は、ユーザーが本人であることを確認して不正ログインを防ぐための措置として普及しているが、Googleはその安全性を検証する目的で、Googleアカウントの復旧に使われていた数億件の秘密の質問を分析した。

 その結果、「アカウント復旧の仕組みとしてそれだけで利用するにはセキュリティも信頼性も不十分」という結論に達したという。

 理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられることが分かった(ちなみにその答えは「ピザ」だった)。

 また、韓国では10回試みれば「生まれた街」の質問を39%の確率で、「好きな食べ物」の質問は43%の確率で、それぞれ答えを推定できてしまうことも判明。それぞれの国で特定の名前の人が多かったり、好きな食べ物が偏ったりしているという事情から、同じ答えを登録しているユーザーが多数を占めることが原因だった。

 しかし、セキュリティを強化するために質問を難しくして、例えば「母が小学校に入学した場所」「図書館カードの番号」などの質問を使った場合、ユーザーが答えを覚えていられる確率は減る。質問を2つにした場合も、ユーザーが2つとも答えを覚えていられる確率は59%にとどまったという。

 この調査結果を受けてGoogleではWebサイトの運営者に対し、アカウント復旧のためのユーザー認証の手段として携帯電話のSMSでバックアップコードを送信したり、2つ目の電子メールアドレスを登録してもらうなど、他の認証方法を併用する必要があると呼び掛けている。

引用元-−-ITmedia

twitterの反応

 - IT系ニュース, ニュース

ページ
上部へ