• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

やばいパスワード

役立たずの烙印、パスワードにまつわる「秘密の質問」

白井 良=日経SYSTEMS 2017/10/20 日経SYSTEMS

 「あなたの母親の旧姓は?」「あなたが最初に飼ったペットの名前は?」――。パスワードを忘れた場合に再設定できるようにするため、こうした「秘密の質問」を入力させるサービスは少なくない。だが、2017年6月に改定された米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」では、秘密の質問をほぼ全面否定する記述に変わった。

 追加された文言は以下の内容だ。

 記憶シークレットを選択する際、検証者(Webサイト側)は利用者に対して、特別なタイプの情報(例えば「最初に飼ったペットの名前は何ですか?」など)の入力を求めてはいけない。

 記憶シークレットとは、利用者だけが知っている情報のこと。パスワードの再設定用に秘密の質問を設定するのは、パスワードとは別の記憶シークレットを選択するという意味だ。これに秘密の質問を利用してはいけないとされた。非推奨の度合いは「SHALL NOT」。最も強い否定の「絶対にしてはいけない」というニュアンスだ。

[画像のクリックで拡大表示]

 さらに、「秘密の質問*1は『通常は極めて弱い特殊なパスワードである』とみなし、パスワードと並列する認証要素から削除した、とSP800-63の変更履歴にわざわざ書かれた」(NRIセキュアテクノロジーズの大島修ソリューションビジネス一部上級セキュリティエンジニア)。秘密の質問は認証の役に立たない、という烙印を押されたのだ。

*1 SP800-63では「Pre-registered Knowledge Token」(事前登録した知識トークン)と呼称

「自分しか知り得ない情報」ではない

 秘密の質問は以前からセキュリティ専門家の間で評判が悪かった。「母親の旧姓やペットの名前は自分しか知り得ない情報ではない。知り合いに話していたりSNSで書いていたりする。過去には、秘密の質問を破られてパスワードを再設定され、Webメールが盗み見られた事件があった」(EGセキュアソリューションズの徳丸浩代表取締役)。

 この事件は加害者、被害者ともに中学生で同級生だった。自分の悪口を言われていると疑った加害者が、被害者のWebメールのパスワード再設定機能を悪用した。被害者はペットの名前を秘密の質問に設定しており、加害者が数回試したところパスワードを再設定できてしまった。

 「秘密の質問がパスワード再設定のような大きな権限を持つのは問題が多い」。EGセキュアソリューションズの徳丸代表取締役はこう指摘する。

 秘密の質問や生年月日を入力するだけでパスワードを再設定できる、秘密の質問の入力だけでパスワードそのものがメールで送られくる――。こうしたWebサイトはセキュリティ上の問題を抱えている。「秘密の質問を使わないで済むなら、使わない方がいい」(情報処理推進機構(IPA)の加賀谷伸一郎セキュリティセンター調査役)。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る