続・ユビキタスの街角

ユビキタスの街角(http://tmasui.blogspot.jp/)から引っ越してきました

数日前に シャクルトンの話 を書いたところだが、今日郵便局に行ったらシャクルトンの記念切手を売っていた。
イギリス人は本当にシャクルトンが好きなようだ。徳川家康ぐらい好きなんじゃないだろうか?

秘密の質問を個人認証のために使おうとするとき、自分をよく知ってる人間には答がわかってしまうのではないか? という心配は妥当なものである。実際、小学校のころの記憶は小学校の同級生に聞けばわかってしまうかもしれないし、秘密の質問は注意して選ぶ必要がある。

私の場合、親も家内も絶対知らないと思われる昔の記憶が沢山あるので、それを秘密の質問に使うことができるし、誰でもそういう秘密がいくつかあるだろうと思っていたのだが、「そんな秘密の質問を認証に使ってることが配偶者に知られたら絶対答を追及されてしまう」という意見を聞いて驚いた。

確かに面白い昔の体験が秘密の質問になってたら聞きたくなるのは人情だろう。そういう圧力にも堪えられる秘密の質問を用意するのは難しいのだろうか?

パスワードを忘れたときのために「秘密の質問」を設定できるようになっているサイトがある。 「母親の旧姓は」とか「はじめてのペットの名前は」のような質問が用意されていることが多い。

こういう認証方法が危険であることは最近はよく認識されている。 母親の旧姓ぐらい調べればすぐわかるから、 誰かの母親の旧姓を調べてからそのアカウントにログインを試みて、 「パスワード忘れましたぁ」とか言えば簡単にアカウントを乗っ取れるかもしれないからである。

もう少しマトモな質問を作ったとしても統計的に考えたりして答がわかってしまうこともあるので、 そもそも秘密の質問みたいなものを使うのがダメだと考える人も多い。 それをテーマに 博士論文 を書いた人がいるぐらいである。

そんなわけで秘密の質問は最近全く評判が悪くて、 秘密の質問を認証に使うと言っただけでそのシステムは駄目だと思ってしまう人もいるようである。 しかしそれは変な話であって、 普通に使われているパスワードだって 「あなたの秘密の文字列は何ですか」 という秘密の質問の答みたいなものなのだから、 パスワードが良くて秘密の質問が駄目などということはないはずである。 問題は秘密の質問の質なのであって、 秘密の質問を使って認証するという方法が悪いなどということはありえない。

この話に限らず、認証やセキュリティで特定の手法の話をすると 「その方法は全然駄目」 と反応する人が多いような気がしている。 安心で安全で簡単なセキュリティが求められているのは間違いないのだから、 柔軟な思考でいろいろ考えていくべきだと思っている。

このページのトップヘ