SNSなどのウェブサービスでパスワードの代わりに使われる「秘密の質問」。
実は「秘密の質問」を設定することは非常に危険です。
「秘密の質問」はカンタンにわかる
秘密の質問といえば、「母親の旧姓」「愛車の名前」「好きな映画」「出身地」などの質問があります。
これらはパスワード同様、自分しか知り得ない秘密の情報でしょうか?
答えはもちろん「No」です。
「母親の旧姓」「愛車の名前」「好きな映画」「出身地」などといった情報は今や、本人のSNSをチェックすればカンタンにわかります。
WIREDには実際に、SNS等から秘密の質問を推測された人物の体験談が載っています。
ログイン情報をリセットするには、「秘密の質問」に答えなければならず、その答えは本人しか知らないことになっている。
ポーグがアップルID用に選んだ質問は、
(1)最初に乗ったクルマは?
(2)お気に入りのクルマのモデルは?
(3)2000年1月1日どこにいた?の3つだった。
1つ目と2つ目の答えはネット検索で得られる。ポーグは、最初に乗ったクルマはカローラだと記したことがあり、最近はトヨタのプリウスを褒め称えていた。
ハッカーは、最後の質問には当てずっぽうで答えたらしい。世間のご多分に漏れず、ポーグは新しいミレニアムの始まりを「パーティ」で迎えていたそうだ。
このように人は、知らず知らずのうちにSNSに「秘密の質問」の答えを書き込んでいるケースがあるのです。
幸い、日本ではFacebookやLinkedInといった、詳細な個人情報をアップするタイプのSNSはあまり流行っていません。ですが、油断は禁物です。
何気なくTwitterに呟いた情報も、まとめることで重大な個人情報がわかってしまう場合があります。それに敵は見ず知らずの人とは限りません。クラスメイトや会社の同僚などの知人が犯人の可能性もあります。その場合は、日常会話の中に「秘密の質問」の答えが隠れているかもしれません。
「秘密の質問」もパスワードにする方法
では、「秘密の質問」は何の役にも立たず、設定しない方が良いのでしょうか?そんなことはありません。「秘密の質問」をパスワードと同じように扱うことで、アカウントのセキュリティを向上させることができます。
やり方はカンタンです。
「秘密の質問」に対し、パスワードと同じようにデタラメな文字列を設定すればOKです。
例えば、「好きな映画は?」→「o1u;h43u’h7ij」このような感じです。
こうすることで、SNS上に答えが転がっているような脆弱な「秘密の質問」が堅牢なパスワードになります。
この方法だと、パスワードを忘れた場合の復旧手段として「秘密の質問」は使えなくなってしまいますが、仕方がありません。
そもそも、パスワードに復旧手段を設けることがセキュリティを甘くしてしまっているのです。