【悲報】 秘密の質問:母親の旧姓は?米国「そんなもん他人でもわかる。セキュリティがザル」

1: 名無しさん 2017/10/22(日) 18:26:50.15 ID:5+VVYjCg0● BE:601381941-PLT(13121) ポイント特典
役立たずの烙印、パスワードにまつわる「秘密の質問」

「あなたの母親の旧姓は?」「あなたが最初に飼ったペットの名前は?」――。パスワードを忘れた場合に
再設定できるようにするため、こうした「秘密の質問」を入力させるサービスは少なくない。だが、2017年6月に
改定された米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」では、秘密の質問をほぼ
全面否定する記述に変わった。

追加された文言は以下の内容だ。

記憶シークレットを選択する際、検証者(Webサイト側)は利用者に対して、特別なタイプの情報
(例えば「最初に飼ったペットの名前は何ですか?」など)の入力を求めてはいけない。

記憶シークレットとは、利用者だけが知っている情報のこと。パスワードの再設定用に秘密の質問を設定するのは、
パスワードとは別の記憶シークレットを選択するという意味だ。これに秘密の質問を利用してはいけないとされた。
非推奨の度合いは「SHALL NOT」。最も強い否定の「絶対にしてはいけない」というニュアンスだ。

no title

さらに、「秘密の質問*1は『通常は極めて弱い特殊なパスワードである』とみなし、パスワードと並列する
認証要素から削除した、とSP800-63の変更履歴にわざわざ書かれた」(NRIセキュアテクノロジーズの
大島修ソリューションビジネス一部上級セキュリティエンジニア)。秘密の質問は認証の役に立たない、
という烙印を押されたのだ。

*1 SP800-63では「Pre-registered Knowledge Token」(事前登録した知識トークン)と呼称

■「自分しか知り得ない情報」ではない

秘密の質問は以前からセキュリティ専門家の間で評判が悪かった。「母親の旧姓やペットの名前は自分しか
知り得ない情報ではない。知り合いに話していたりSNSで書いていたりする。過去には、秘密の質問を破られて
パスワードを再設定され、Webメールが盗み見られた事件があった」(EGセキュアソリューションズの徳丸浩代表取締役)。

この事件は加害者、被害者ともに中学生で同級生だった。自分の悪口を言われていると疑った加害者が、
被害者のWebメールのパスワード再設定機能を悪用した。被害者はペットの名前を秘密の質問に設定しており、
加害者が数回試したところパスワードを再設定できてしまった。

「秘密の質問がパスワード再設定のような大きな権限を持つのは問題が多い」。EGセキュアソリューションズの
徳丸代表取締役はこう指摘する。

秘密の質問や生年月日を入力するだけでパスワードを再設定できる、秘密の質問の入力だけでパスワードそのものが
メールで送られくる――。こうしたWebサイトはセキュリティ上の問題を抱えている。「秘密の質問を使わないで済むなら、
使わない方がいい」(情報処理推進機構(IPA)の加賀谷伸一郎セキュリティセンター調査役)。

■文字列の追加で問題を軽減

(本文略)
no title

http://itpro.nikkeibp.co.jp/atcl/column/17/092800400/101700005/

引用元: http://hayabusa9.5ch.net/test/read.cgi/news/1508664410/

2: 名無しさん 2017/10/22(日) 18:27:21.44 ID:kTzHg+OW0
はい

5: 名無しさん 2017/10/22(日) 18:28:26.00 ID:LVmXqfdT0
初体験はいつ?

35: 名無しさん 2017/10/22(日) 18:40:29.30 ID:Lqt07wMH0
>>5
ア?

8: 名無しさん 2017/10/22(日) 18:29:37.42 ID:YIaONkzD0
最初に買った自転車の鍵の番号は?

31: 名無しさん 2017/10/22(日) 18:38:53.71 ID:VOAwe+wZ0
>>8
んなもん自分でも覚えてねーよwww

16: 名無しさん 2017/10/22(日) 18:34:05.70 ID:29mVmfRM0
自分しか知り得ないものだったら自分で設問した方が良いよな。

17: 名無しさん 2017/10/22(日) 18:35:00.66 ID:/2MO09550
自分で秘密の質問決めさせるのが一番いいんじゃないの
ただもしそうなったらどういう質問考えるかなってちょっと悩んだ
「一番最初に見た2chの板」にでもするかな

20: 名無しさん 2017/10/22(日) 18:36:22.93 ID:VyeLaho60
答えが一つの質問だから分かるんじゃね
1位から3位とかにすれば

21: 名無しさん 2017/10/22(日) 18:36:48.11 ID:BkuOjC9y0
確かにこういうリマインダはセキュリティの欠陥だと思う

22: 名無しさん 2017/10/22(日) 18:36:48.23 ID:LGitl+oo0
英語圏じゃ起きない問題なんだろ受けど
漢字で入力したのかそれともひらがなかカタカナなのかを忘れる

43: 名無しさん 2017/10/22(日) 18:45:54.54 ID:unvyzcR60
>>22
コレ

23: 名無しさん 2017/10/22(日) 18:36:50.78 ID:b5iKcVOI0
バカ正直に設定する必要は無い
「あなたの母親の旧姓は?」→焼肉定食
で良いんだよ

57: 名無しさん 2017/10/22(日) 18:53:43.13 ID:Uj5jH6cC0
>>23

「焼肉定食」を忘れたりして

28: 名無しさん 2017/10/22(日) 18:37:57.56 ID:lBMvA/vQ0
子供の頃怖い夢に出てきたお化けの名前は?

これで自分しかわからん

32: 名無しさん 2017/10/22(日) 18:39:06.47 ID:tGae5z7W0
本当のこと書くわけねえぢゃんw
ペットの名前がビーフストロガノフなわけねえだろw

33: 名無しさん 2017/10/22(日) 18:39:09.71 ID:3EoalHKS0
好きな飲み物は?カレー

37: 名無しさん 2017/10/22(日) 18:42:28.96 ID:qU87C/gV0
母親の旧性…?

39: 名無しさん 2017/10/22(日) 18:44:26.24 ID:VR4UwSmr0
そもそもSNSなんでもかんでも開示してるやつがバカ

40: 名無しさん 2017/10/22(日) 18:44:40.53 ID:p0zTeYo90
Q.ペットの名前は?
A.俺がペットなんだが…

41: 名無しさん 2017/10/22(日) 18:45:23.80 ID:HmhGqpic0
日本は苗字多いからな
4つの数字の羅列よりはマシ

52: 名無しさん 2017/10/22(日) 18:51:07.96 ID:X0TKxWnu0
婿養子なんだが

55: 名無しさん 2017/10/22(日) 18:51:46.35 ID:rXbVAVWX0
食べ物の好き嫌いなら覚えてるしわかりやすい

56: 名無しさん 2017/10/22(日) 18:52:25.61 ID:S8VOPQf10
これ出た時どんな質問でも同じにしてるわ
ペットに名前は?→カレー
とかなんでもカレーにするとかな

58: 名無しさん 2017/10/22(日) 18:54:01.72 ID:O9Wyt5F60
前は好きな映画とかどうでも良い内容だったけど、最近は個人情報絡みな質問が多いな。

59: 名無しさん 2017/10/22(日) 18:54:18.96 ID:+Vm0b9iU0
秋篠宮とかにしとけば同級生にもバレない

62: 名無しさん 2017/10/22(日) 18:57:49.66 ID:56QHcssz0
七人の侍から黄金狂時代に変えた

63: 名無しさん 2017/10/22(日) 18:57:50.85 ID:wl6UW+tC0
Q好きな小説は?
A異世界スマホ
破れまい。

64: 名無しさん 2017/10/22(日) 18:58:23.55 ID:69bnJEKT0
数年前でたらめな答え入れてて、忘れて問い合わせた時恥ずかしかったわ

66: 名無しさん 2017/10/22(日) 18:59:14.20 ID:n05EMegW0
よくあるよな

『【悲報】 秘密の質問:母親の旧姓は?米国「そんなもん他人でもわかる。セキュリティがザル」』へのコメント

  1. 名前:どうぶつ@名無しさん 投稿日:2017/10/22(日) 20:01:57 ID:91417cfe1

    でたらめに入れたDNAのパスワードがわからずに5年くらい入れない
    誕生日も適当に入れたようなので訂正の為の確認すら出来ない

  2. 名前:どうぶつ@名無しさん 投稿日:2017/10/22(日) 21:39:32 ID:52c03e5b1

    知ってた

    っていうか今まで十何年も気がつかないってセキュリティ業界はアホばっかりかよ。

  3. 名前:どうぶつ@名無しさん 投稿日:2017/10/22(日) 23:29:09 ID:1067da26c

    人には言えない自分の癖とか、墓場までもっていく恥ずかしい話とかがパスワードになったら、入れるたびに悶絶するのかな?