「秘密の質問」が廃止されないならウソを登録しなきゃ

パスワード管理も大事だけど、「秘密の質問」のほうが大問題?
Time to Kill Security Questions–or Answer Them With Lies | WIRED
「秘密の質問」が廃止されないならウソを登録しなきゃ



Yahoo!の5億件個人情報漏洩では、パスワードのハッシュも流出していたようだが。
ニュース – 5億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か:ITpro – けにあmemo
「秘密の質問」とその答えも流出していたらしい。
「秘密の質問」で聞かれるプライベートな情報がわかってしまう。
例としてあげられているのは好きな観光地、出身地。
母親の旧姓や食べ物、スポーツ、クルマなんかの好みも選択肢として見たことがある。
流出してなくても、必ずしも秘密にしていないこういう情報を入手すれば勝手にパスワードリセットができてしまう。
そして今回流出がわかったYahoo!のユーザーは母親の旧姓を変えないといけないのかと。
そりゃそうだ。
で、同じ質問を使っている別サイトは全部侵入可能になったことになる。
パスワード復元の根拠をありきたりな情報に頼っててどうするということ。
対策としてGoogleが紹介されていて、SMSメッセージと予備のメールアドレス登録でリセットの手段としている。
秘密の質問がなくならないあいだは、真実を書かず、できればランダムな文字列にするべき。
1台目の車の車種は? Y^i72b(lV$
なんだかなあ。

コメントを残す

メールアドレスが公開されることはありません。