「秘密の質問」の廃止 by 西口昌宏さん | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


アイディア番号
@04135

「秘密の質問」の廃止

カテゴリー
0-1.デジタル社会に関する意見
寄稿者
西口昌宏さん
投稿日時
コメント数
11コメント
評価P
22ポイント

パスワードの定期変更やパスワード付きZIPなど、効果がないだけでなく手間暇だけ増えて返って安全性を悪くしかねないことに対して、反対の声が増えてきたことは喜ばしい限りです。

そこでその流れに乗って私が訴えたいのは「秘密の質問」の廃止です。

さまざまなITサービスへの認証でIDとパスワードが用いられますが、あまりにも多すぎてパスワードが分からなくなることがしばしばあります。そこでパスワードを忘れてしまいログインできなくなった方に対して、改めてログインできるようにする必要が生じるのですが、それを自動的にできるようにするのは、サービスの提供側のコストという面でも利用者側の利便性という面でも重要でしょう。

そこで時々見かけるのが、あらかじめ登録しておいた「秘密の質問」とその「答え」を答えることによって、パスワードをリセットできたりログインできるようにするものです。しかもその「秘密の質問」が「あなたのペットの名前は?」とかあらかじめ決められたものから選択し登録しなければならないものも多くたちが悪いと思います。
これは事実上は代替パスワードといえるものであって、認証情報としてはパスワードと同じだけの機密性が問われるものでしょう。しかしペットの名前は機密情報でしょうか。好きな女優の名前は機密情報でしょうか。
セキュリティに関心が高い人は、ここで正直にペットの名前や女優の名前を答えることはないと思いますが、正直な方は素直に答えてしまいかねず、そういった方を危険に晒しかねないものと思います。


これは、リスクベース認証によって追加の質問をするというのが間違って運用されているのではないかと想像するのですが、パスワードの定期変更やPPAPの次はこの「秘密の質問」を問題として注目して欲しいです。

ページの先頭へ