忘れやすい「秘密の質問」はもう時代遅れ

セキュリティ

ウェブ上のサービスにユーザー登録しようとすると、「秘密の質問」とやらで個人情報をいくつも答えさせられた経験ありませんか?

本当にあれは苦痛で、プルダウンとかで質問の内容を選べるようになっていたりするのですが、どれも答えずらい質問だったりするし、しかもこれでもかと沢山聞いてきて本当にうんざりさせられます。

でもそういった暗黒の時代は2017年に終焉を迎えています。

セキュリティとパスワード忘れ対策

秘密の質問自体は、IDとパスワード以外の認証手段としてセキュリティを強固にするという意味合いが昔はあったと思います。
ただ両方とも知識要素ですから、セキュリティを強めるものにはならないと考えられます。

また設計の立場に立つと、パスワードを忘れたときの手段を人手をかけずに行いたいと考えます。
その時都合が良いのが秘密の質問です。

でも秘密の質問しか手段がないわけではなくて、メールやSMSなどでPINなどを送り復旧するというのもあります。

そもそも秘密の質問も忘れやすいのが問題です。
忘れた秘密の質問をどう復旧するのかを考えると、設計的にも袋小路に入ります。

結局ハッキングが横行

実は最近まで「秘密の質問」でパスワードを再発行してハッキングすることが横行していました。

まあ良く知っている人の「秘密の質問」だったら普通に分かりますからね。
更にFacebookやLinkedinとかに回答を公開している人が多いですから、
ハッカーじゃなくてもGoogleででてきます。

2015年に米国内国歳入庁(IRS)で約10万人の納税情報が抜き取られる事件がありましたが、
これが結構決め手になりました。

NIST SP800-63-3でKBAが削除

こういった「秘密の質問」を使った認証方法を、技術的にはKnowledge-based Authentication(KBA)もしくは、Knowledge-based Proofing(KBP)と呼びます。
ちなみに検証方法はKnowledge-based Verification(KBV)と呼びます。

アメリカ商務省傘下の国立標準技術研究所(NIST)が発行するSP800シリーズのSP800-63-2まで認証方法として記載されていたKBAですが、
2017年に発行されたSP800-63-3では削除されています。

そこから認められない認証方法となったKBAを積極的に取りやめる動きが始まりました。

まとめ

一時期一世を風靡した「秘密の質問」ですが、NISTの意向もあり2017年以降一気に淘汰され、今ではすっかり目にすることはなくなりました。

「秘密の質問」を覚えておくという苦悩が過去の遺物になったことは喜ばしいことではないでしょうか。

コメント