水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 「秘密の質問と答」が流出すると何が起きるのか?

「秘密の質問と答」が流出すると何が起きるのか?

2013年5月24日(金曜日)

「秘密の質問と答」が流出すると何が起きるのか?

公開: 2013年11月10日20時20分頃

Yahoo! から大規模な情報流出があったという話ですが、こんな記事が出ていますね……「Yahoo!のパスワード流出、実は「他サイトが危険」?」。 (www.yomiuri.co.jp)

問題は、他のサイト・サービスでのIDパスワードだ。前出の北河氏は「ユーザーが共通したパスワードを使っていた場合に、Yahoo!で流出したハッシュ値からパスワードを解読されてログインされたり、秘密の質問と答を使って、不正ログインされてしまう可能性がある」と注意をうながしている。

(~中略~)

▼秘密の質問と答だけでパスワード再設定ができてしまうサービス

秘密の質問と答は「母の旧姓は?」「小学校の名前は?」といったようによくある質問で、かつその人固有のものだ。そのため、他のサービスでも悪用できてしまう。もし秘密の質問と答だけでパスワードをリセット・再設定できるサイトやサービスがあれば、今回の流出データによって犯人に乗っ取られる危険性がある。

最近、たびたび話題になる不正アクセス手法として、「パスワードリスト攻撃」というものがあります。どこかで流出したパスワードリストを使って他のサイトに不正アクセスを試みるという手法です。この手法に対しては、他のサイトと同じパスワードを使用しないようにすることが重要だと言われます。

パスワードであれば、他のサイトと違うものにすることは容易ですし、漏洩した可能性を感じたら変更することもできます。

しかし、「秘密の質問と答」はどうでしょうか?

記事にも書かれているように、秘密の質問は一般的なものであることが多いですし、同じ質問であれば、基本的には同じ答えになります。サイトごとに全て異なる内容にすることは難しいでしょう。また、一度登録したものを後から変更することが難しい場合もありそうです。

※それをふまえて、あえて秘密の質問の答えをでたらめな内容にしている人もいるだろうと思いますが、それは一般的な使われ方ではありません。

秘密の質問を使用しているサービスは、利用者が他サイトで使っている「秘密の質問の答」が漏洩したことをふまえて、自サービスにどういう影響があるのかを再確認した方が良いかもしれません。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト