「秘密の質問と答」が流出すると何が起きるのか?
2013年5月24日(金曜日)
「秘密の質問と答」が流出すると何が起きるのか?
公開: 2013年11月10日20時20分頃
Yahoo! から大規模な情報流出があったという話ですが、こんな記事が出ていますね……「Yahoo!のパスワード流出、実は「他サイトが危険」?」。 (www.yomiuri.co.jp)
問題は、他のサイト・サービスでのIDパスワードだ。前出の北河氏は「ユーザーが共通したパスワードを使っていた場合に、Yahoo!で流出したハッシュ値からパスワードを解読されてログインされたり、秘密の質問と答を使って、不正ログインされてしまう可能性がある」と注意をうながしている。
(~中略~)
▼秘密の質問と答だけでパスワード再設定ができてしまうサービス
秘密の質問と答は「母の旧姓は?」「小学校の名前は?」といったようによくある質問で、かつその人固有のものだ。そのため、他のサービスでも悪用できてしまう。もし秘密の質問と答だけでパスワードをリセット・再設定できるサイトやサービスがあれば、今回の流出データによって犯人に乗っ取られる危険性がある。
最近、たびたび話題になる不正アクセス手法として、「パスワードリスト攻撃」というものがあります。どこかで流出したパスワードリストを使って他のサイトに不正アクセスを試みるという手法です。この手法に対しては、他のサイトと同じパスワードを使用しないようにすることが重要だと言われます。
パスワードであれば、他のサイトと違うものにすることは容易ですし、漏洩した可能性を感じたら変更することもできます。
しかし、「秘密の質問と答」はどうでしょうか?
記事にも書かれているように、秘密の質問は一般的なものであることが多いですし、同じ質問であれば、基本的には同じ答えになります。サイトごとに全て異なる内容にすることは難しいでしょう。また、一度登録したものを後から変更することが難しい場合もありそうです。
※それをふまえて、あえて秘密の質問の答えをでたらめな内容にしている人もいるだろうと思いますが、それは一般的な使われ方ではありません。
秘密の質問を使用しているサービスは、利用者が他サイトで使っている「秘密の質問の答」が漏洩したことをふまえて、自サービスにどういう影響があるのかを再確認した方が良いかもしれません。
- 「「秘密の質問と答」が流出すると何が起きるのか?」にコメントを書く
関連する話題: セキュリティ
- 前(古い): Secure属性つきのCookieが読めなくても、書くことはできる
- 次(新しい): bakera.jpをAzureに移行
