「秘密の質問」には欠陥あり!Googleが分析結果を発表!WEBサイトのログインパスワード再設定などに使う「秘密の質問」は第三者に予測されやすい
Googleは、数百万件のGoogle Accountの復旧要求に使われた数億件の「秘密の質問」とその「答え」を分析した。その結果から、「秘密の質問」は根本的な欠陥を抱えているとの結論が得られという。根本的な欠陥とは、「答え」の安全性と覚えやすさが両立することはまずない、という点。本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。
スポンサーリンク
こんな記事もよく読まれています
-
マイクでの録音時に発生する雑音の原因と軽減する為の対処法
マイクで録音する時には、とりたい音源以外に雑音が入り込んでし...
-
育休期間を3年に延長することで生じる問題と取得の現実
女性の働きやすい環境づくりを打ち出す政策の中に、育休期間を3...
-
男女兼用の名前は…外国でも通用する命名のコツ!
赤ちゃんが生まれて初めての贈り物が「名前」だと言われています...
-
自閉症の重度症状~乳児期に見られる特徴と子供への接し方
子供の健やかな成長は親の一番の願いです。 最近では発達障害...
-
男性は身長が低いことにコンプレックスを感じている?!
男性の平均身長は年齢によって異なりますが、約170cmと言わ...
-
髪が水色のアニメキャラ検証!人気の4強徹底リサーチ!
髪が水色のアニメキャラには繊細・クール・神秘的など、ちょっと...
-
大学生の彼氏のお家にお泊りする時の事前準備と注意点
大学生の彼氏のお家へのお泊りは、大好きな彼氏とずっと一緒に入...
-
交通事故に合った!貰った診断書の治療日数が短いのはなぜ?
万が一交通事故に合ってしまったら、とにかくすぐ病院へ行きます...
-
人身事故で電車が遅延!?膨大な賠償額の内訳と請求について
人身事故を起こし、電車が遅延する事態になると莫大な賠償額が発...
-
大学の友達と喧嘩…後腐れなく仲直りする方法とポイント!
最近はおひとり様の大学生も増え、友達という感覚が薄れてきてい...
-
長男と次男の性格の違い~同じ家庭環境でも差が出る原因
子供は同じように育てても性格の違いがあらわれます。 同性で...
-
漢字一文字で気持ちを贈る〜漢字に込めたあなたの思いとは…
日本には様々な意味を持つ漢字があります。漢字一文字の中に込め...
-
新生児期に見られるモロー反射が多い時の対処法と注意点
新生児期の赤ちゃんにはモロー反射という原子反射が見られます。...
-
28歳の貯金額はどのくらい?500万円貯めるためには?
社会人になって会社にも慣れ、そろそろ肩書きが付いてくる場合も...
-
生後4ヶ月のママ&赤ちゃんにプレゼントするなら何が良い?
産後、ママが里帰り出産から帰ってきて、母子ともに身体と生活リ...
-
思わせぶりや好き避けも!中学生に良くある恋愛の勘違い
中学生の頃って、特に女子は恋愛話に花を咲かせていた時期ですよ...
-
中学校の部活はバスケ部に入部したい子を持つ母の為の情報!
中学校に入ると部活に入部すれば人間関係や経験が広がります。 ...
-
海のレジャーで写真を撮る!防水カメラを買うなら使い捨て?
秋冬でもハワイやグアム、沖縄でもマリンレジャーを楽しみたい!...
-
子供が友達から無視されている時、親としてどうすればいい?
子供が友達から無視されていることが分かったら、親としてどうす...
-
33歳で貯金が500万円は多い?少ない?貯めるコツは?
趣味のため、結婚資金、子どもの教育費、老後の生活にあてるため...
スポンサーリンク
(財経新聞)「秘密の質問」には根本的欠陥があるという分析結果をGoogleが発表
Googleは、数百万件のGoogle Accountの復旧要求に使われた数億件の「秘密の質問」とその「答え」を分析した。その結果から、「秘密の質問」は根本的な欠陥を抱えているとの結論が得られという。
根本的な欠陥とは、「答え」の安全性と覚えやすさが両立することはまずない、という点。本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。
また、国によって人名や好きな食べ物や出身地が偏っている、といった理由で答えの推測がしやすい点も問題である。たとえば、英語ユーザーでは「What is your favorite food?(好きな食べ物は?)」の質問に対し、1回の試行で19.7%が突破できてしまう。その答えは「pizza(ピザ)」だ。ほかにも、いくつかの言語圏においては特定の質問に対して10回の試行で高確率に正解できる(つまり、上位10解答の割合が高い)例が示されている。
質問に対して(覚えやすい)偽の答えを登録しているユーザーもいる。電話番号と「What’s your frequent flyer number?(マイレージサービスの番号は?)」の答えが同じであるような例だ。しかし、こうして同じ偽の答えが使いまわされていれば、攻撃者が正解する確率を高める結果となる。「正しい」答えの推測が困難な質問でも、何か既知の情報で答えれば正解する率が上がるということだ。
そして、難しい答えはしばしば本人も忘れてしまう。米国内の英語ユーザーのうち40%は秘密の質問を思い出すことができなかったという。また、安全であると期待される質問での解答率はさらに低かったそうだ。
それでは、複数の質問に答えさせるのはどうか。これは確かに攻撃者が突破できる率を低下させるものの、ユーザーが答えを忘れてしまう率をより高める。
Googleは、ユーザーとWebサイト所有者は、「秘密の質問」を使うことを考え直すべきだと述べている。そしてアカウント復旧のための本人確認にはSMSや予備のメールアドレスなどの手段を利用し、「秘密の質問」はそれらが使えない場合の最後の手段とすべきだ、としている。
引用元-−-財経新聞
(INTERNET Watch)実は危険な“秘密の質問”、Googleが研究結果を発表
米Googleは21日、パスワード再設定時などに使われる“秘密の質問”(security questions)に関しての研究結果を発表した。Googleに対して実際に要求された数億件の事例を分析。秘密の質問単独での運用は安全ではなく、予備メールアドレスなどとの併用が重要だと指摘している。
秘密の質問は、ウェブサービスにおける緊急時の個人認証手段として普及している。しかし、簡単な質問では、一般的な知識や文化的背景をもとにすれば簡単に推定されうる。Googleによると、例えば、英語圏での「好きな食べ物は?」という質問には、1回の推測だけで答えが当たる確率は19.7%。同様に、10回の推測であれば、アラビア語圏の「最初の先生の名前」は24%、スペイン語圏の「父のミドルネーム」は21%の確率で当たってしまうという。
一方で、難しすぎる質問にも問題がある。米国ユーザーの40%は、必要な時に質問の答を思い出すことができなかった。また、2つ以上の質問を設定することも弊害が多く、攻撃者が10回の推定で正解する可能性は1%だが、本来のユーザーが答を思い出せる可能性は59%にとどまってしまう。
Googleではサイト運営者に対し、アカウント所有権の確認のための方法として、SMSや予備メールアドレスにバックアップコードを送信するなどの方法を並行して用意すべきたど説明している。
引用元-−-INTERNET Watch
(ITpro)パスワード再設定の際の「秘密の質問」は推測可能 — 調査で明らかに
忘れてしまったパスワードを再設定する際に使われる「秘密の質問」は,実際問題としてどの程度秘密のものなのだろうか。「It’s no secret: Measuring the security and reliability of authentication via ‘secret’ questions」(秘密とは言えない:「秘密の」質問を通じた認証のセキュリティと信頼性の測定)と題した,つい先日発表された研究結果によれば,結局は,さほど秘密とは言えないようだ。この調査によれば,被験者の17%は他人の「秘密の質問」に答えることができただけでなく,もっとも一般的な質問が,もっとも答えやすい質問でもあったことがわかった。
以下に示すのは,2009年のIEEE Symposium on Security and PrivacyでStuart Schechter氏,A. J. Bernheim Brush氏,Serge Egelman氏によって発表されたこの研究の概要だ。
われわれは,4つのウェブメールプロバイダすべてで使われている質問の信頼性とセキュリティを計測するユーザー調査を実施した。われわれは被験者に質問に答えるように求め,被験者の知人に彼らのパスワードを推測するよう求めた。被験者が自分のウェブメールのパスワードを知られたくないと報告した知人は,彼らの答えの17%を推測することができた。さらに,他の参加者の間でもっとも一般的な答えを使うことで,13%の答えを5回以内の試行で推測することができた。ただし,この弱さの原因の一部は,今回の被験者群の属性が地理的に均質であったことに起因する。
さらに,「秘密の質問」の覚えやすさを検証したところ,この130人の被験者(男性64人,女性66人)を対象としたユーザー調査によって,推測が難しい質問は覚えにくい質問でもあることがわかった。
最近行われた同様の2つの調査が,これらの調査結果を裏付けている。たとえば,「Choosing Better Challenge Questions」の中で,Mike Just氏とDavid Aspinall氏は,ユーザーはエントロピーの低い答えを好む傾向があり,このことが全数攻撃に対する潜在的な脆弱性となっていることを発見している。また,この2人の研究者は,2つめの調査「Challenging Challenge Questions」でも同じ結論を導いており,答えの平均的な長さが8文字未満であることを考えると,1つの秘密の質問だけに頼っている認証システムは,全数攻撃に対して非常に脆弱であると指摘している。
秘密の質問に対する全数攻撃は実現可能な攻撃方法だが,実際の攻撃はもう少し現実的なやり方を取っている。Web 2.0世界では潜在的な被害者の大多数が,無意識あるいは意識的に,ウェブ上に秘密の質問の答えを掲載してしまっているためだ。
その代表例を挙げてみよう。現実の事件で,彼らの結論が実際に通用することが確認されている。例えば,Sarah Palinアラスカ州知事の事件のハッカーは,Googleの検索を使うことによって,彼女の「秘密の質問」の答えを推測してパスワードをリセットすることに成功した。その後,過去1年間の間に,Twitterの従業員を狙った似たようなパスワード再設定攻撃が2件起きている。さらに,営利目的の「パスワード回収サービス」や,電子メールハッキングサービスの広告は,単純なマルウェア感染攻撃や特定のウェブベースの電子メールサービスプロバイダに対するXSS脆弱性を悪用する攻撃の他に,他にパスワード再設定攻撃を利用している。
これらの結論と,秘密の質問のセキュリティに対するエンドユーザーの誤った評価,質問の答えがすでに公になっていることなどを併せて考えると,秘密の質問が「あなたの新婚旅行の場所はどこですか」というものである場合は,2年前のパリでの新婚旅行が楽しかったという話をTwitterでするのはよした方がいい。もちろん,その場合は自分でもこの質問には正しく答えられるだろうが。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。
引用元-−-ITpro
(ITmedia)「秘密の質問」が突破される確率は? Googleが調査
「最初のペットの名前は?」「好きな食べ物は?」「母親の旧姓は?」――。オンラインサービスのパスワードを忘れて復旧する時のために登録しておくそんな「秘密の質問」は、セキュリティ対策としては「根本的な欠陥」があるという研究結果を米Googleが5月21日に発表した。
こうした質問は、ユーザーが本人であることを確認して不正ログインを防ぐための措置として普及しているが、Googleはその安全性を検証する目的で、Googleアカウントの復旧に使われていた数億件の秘密の質問を分析した。
その結果、「アカウント復旧の仕組みとしてそれだけで利用するにはセキュリティも信頼性も不十分」という結論に達したという。
理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられることが分かった(ちなみにその答えは「ピザ」だった)。
また、韓国では10回試みれば「生まれた街」の質問を39%の確率で、「好きな食べ物」の質問は43%の確率で、それぞれ答えを推定できてしまうことも判明。それぞれの国で特定の名前の人が多かったり、好きな食べ物が偏ったりしているという事情から、同じ答えを登録しているユーザーが多数を占めることが原因だった。
しかし、セキュリティを強化するために質問を難しくして、例えば「母が小学校に入学した場所」「図書館カードの番号」などの質問を使った場合、ユーザーが答えを覚えていられる確率は減る。質問を2つにした場合も、ユーザーが2つとも答えを覚えていられる確率は59%にとどまったという。
この調査結果を受けてGoogleではWebサイトの運営者に対し、アカウント復旧のためのユーザー認証の手段として携帯電話のSMSでバックアップコードを送信したり、2つ目の電子メールアドレスを登録してもらうなど、他の認証方法を併用する必要があると呼び掛けている。
引用元-−-ITmedia
twitterの反応
【「秘密の質問」は根本的欠陥】パスワードを忘れた時の「好きな食べ物は?」などの秘密の質問には「根本的な欠陥」との研究結果。答えが簡単に分かる場合も。 http://t.co/9bqObWpukp
— Yahoo!ニュース (@YahooNewsTopics) May 22, 2015
「秘密の質問」には根本的欠陥があるという分析結果をGoogleが発表 http://t.co/auf0oirgB8 #it
— 財経新聞:IT・サイエンス (@zaikei_it) May 23, 2015
これはずっと以前から指摘されていた問題だけど、ようやく調査が出たのか。とくに母親の旧姓などは、身近な人間にはなんの歯止めにもならんよね。/「秘密の質問」が突破される確率は? Googleが調査 – ITmedia ニュース http://t.co/KVtsiQjZ2j
— yunishio (@yunishio) May 23, 2015
そもそもパスワードの使い回しが危ないって話になってるのに、秘密の質問は質問が定形だったら答えは自動的に使い回しになってしまう。滅んでほしい。でも代替案がないなあ…
— 安倍吉俊 (@abfly) May 23, 2015
パスワード忘れて秘密の質問を開いたら 「なぜ生きる?」と問われてもう一ヶ月以上答えを考え続けてる
— ぴンコ (@Pinko_k) May 23, 2015
英語ユーザーでは「What is your favorite food?(好きな食べ物は?)」の質問に対し、1回の試行で19.7%が突破できてしまう。その答えは「pizza(ピザ)」だ。 | 「秘密の質問」には根本的欠陥がある http://t.co/DK8Dam6ceN
— ヒライヌス (@1nago) May 22, 2015
パスワードを忘れた時用の「秘密の質問」が突破される確率は?グーグルが調査した結果・・・ http://t.co/C9QAdZxKGW
— はちま起稿 (@htmk73) May 22, 2015
実は危険な“秘密の質問”、Googleが研究結果を発表 -INTERNET Watch http://t.co/idmifyG0uK ”難しすぎる質問・・・米国ユーザーの40%は必要な時に質問の答を思い出すことができなかった” あるあるすぎる
— 銀子* (@ginco_silver) May 22, 2015
『秘密の質問』に対する対策は簡単で、質問のカテゴリを無視した答えを書いていればよい。例えば、質問が『好きな野菜は』なら『鉄腕アトム』、『母親の旧姓は』なら、『ブルーベルベット』。思い出せないと困るので、自分しか知らない秘密の話を書いておけば、第三者から推測される確率は減る。RT
— buvery (@buvery) May 22, 2015