パスワードを忘れたときのために「秘密の質問」を設定できるようになっているサイトがある。 「母親の旧姓は」とか「はじめてのペットの名前は」のような質問が用意されていることが多い。

こういう認証方法が危険であることは最近はよく認識されている。 母親の旧姓ぐらい調べればすぐわかるから、 誰かの母親の旧姓を調べてからそのアカウントにログインを試みて、 「パスワード忘れましたぁ」とか言えば簡単にアカウントを乗っ取れるかもしれないからである。

もう少しマトモな質問を作ったとしても統計的に考えたりして答がわかってしまうこともあるので、 そもそも秘密の質問みたいなものを使うのがダメだと考える人も多い。 それをテーマに 博士論文 を書いた人がいるぐらいである。

そんなわけで秘密の質問は最近全く評判が悪くて、 秘密の質問を認証に使うと言っただけでそのシステムは駄目だと思ってしまう人もいるようである。 しかしそれは変な話であって、 普通に使われているパスワードだって 「あなたの秘密の文字列は何ですか」 という秘密の質問の答みたいなものなのだから、 パスワードが良くて秘密の質問が駄目などということはないはずである。 問題は秘密の質問の質なのであって、 秘密の質問を使って認証するという方法が悪いなどということはありえない。

この話に限らず、認証やセキュリティで特定の手法の話をすると 「その方法は全然駄目」 と反応する人が多いような気がしている。 安心で安全で簡単なセキュリティが求められているのは間違いないのだから、 柔軟な思考でいろいろ考えていくべきだと思っている。