秘密の質問

各種WEBサイトに登録しているパスワードは、同じものを使い回していると危険ですので、サイトごとに異なるパスワードを使っている人もいると思います。
万が一、パスワードが漏洩したときのリスクを考えると、その方が安全なのですが、欠点としては、使用頻度の低いパスワードは忘れてしまう、ということがあります。そのようにしてパスワードを忘れてしまった場合の対策として、多くのサイトで、「本人しか知り得ない秘密の質問に答える」ことでパスワードの代わりに本人確認ができるような仕組みが取り入れられています。

「秘密の質問」とは例えば以下のようなものです。
・好きな食べ物は？
・母親の旧姓は？
・通っていた小学校の名前は？
・初めて飼ったペットの名前は？

一見すると確かに本人でなければわからないような質問のように思えますが、例えばアメリカの調査結果では、好きな食べ物を聞かれると20%ぐらいのアメリカ人は「ピザ」と答えるので、当てずっぽうでも1回の推測で2割の人が
パスワードを破られる計算になってしまいます。また、「母親の旧姓」「小学校名」「ペットの名前」なども、SNS等に個人の情報がたくさん上がっている現状では、調べれば分かってしまう可能性もあります。

そのようななりすましに対する防御策として聞いたものの中で、面白いと思ったものを２つご紹介します。

一つは、秘密の質問の「答え」の最後に、本人しか知らない「共通フレーズ」を追加することです。具体的には、「好きな食べ物は？」という質問の答えとして、「ピザ」という名詞だけでなく、「ピザじゃないかな」というように入力するとか、小学校名の答えに「第一小学校じゃないかな」と入力するなど、自分で決めた「じゃないかな」という共通したフレーズを追加することで、答え自体は他人が推測できるような質問でも、共通フレーズも含めた正確な文字列は入力できなくするような仕組みです。

もう一つは、どのような「秘密の質問」であろうと、必ず同じ答えを設定することです。
具体的には、
「好きな食べ物は？」→　ティラノサウルス
「母親の旧姓は？」→　ティラノサウルス
「通っていた小学校の名前は？」→　ティラノサウルス
「初めて飼ったペットの名前は？」→　ティラノサウルス
などというように、質問とは全く関係ない決まった答えを何とかの一つ覚えのように繰り返す手法です。質問とは関係ない答えなので、他人が推測することはまず不可能です。ただ、同じ答えの使い回しとなるため、パスワードの
場合と同様、万が一漏洩してしまった場合のリスクは大きくなります。

どちらの対策も万能とは言えませんが、セキュリティ対策の一環として検討してみても良いのではないでしょうか。

【しばわんこ】