秘密の質問を個人認証のために使おうとするとき、自分をよく知ってる人間には答がわかってしまうのではないか? という心配は妥当なものである。実際、小学校のころの記憶は小学校の同級生に聞けばわかってしまうかもしれないし、秘密の質問は注意して選ぶ必要がある。
私の場合、親も家内も絶対知らないと思われる昔の記憶が沢山あるので、それを秘密の質問に使うことができるし、誰でもそういう秘密がいくつかあるだろうと思っていたのだが、「そんな秘密の質問を認証に使ってることが配偶者に知られたら絶対答を追及されてしまう」という意見を聞いて驚いた。
確かに面白い昔の体験が秘密の質問になってたら聞きたくなるのは人情だろう。そういう圧力にも堪えられる秘密の質問を用意するのは難しいのだろうか?
秘密の質問
パスワードを忘れたときのために「秘密の質問」を設定できるようになっているサイトがある。
「母親の旧姓は」とか「はじめてのペットの名前は」のような質問が用意されていることが多い。
こういう認証方法が危険であることは最近はよく認識されている。
母親の旧姓ぐらい調べればすぐわかるから、
誰かの母親の旧姓を調べてからそのアカウントにログインを試みて、
「パスワード忘れましたぁ」とか言えば簡単にアカウントを乗っ取れるかもしれないからである。
もう少しマトモな質問を作ったとしても統計的に考えたりして答がわかってしまうこともあるので、
そもそも秘密の質問みたいなものを使うのがダメだと考える人も多い。
それをテーマに
博士論文
を書いた人がいるぐらいである。
そんなわけで秘密の質問は最近全く評判が悪くて、
秘密の質問を認証に使うと言っただけでそのシステムは駄目だと思ってしまう人もいるようである。
しかしそれは変な話であって、
普通に使われているパスワードだって
「あなたの秘密の文字列は何ですか」
という秘密の質問の答みたいなものなのだから、
パスワードが良くて秘密の質問が駄目などということはないはずである。
問題は秘密の質問の質なのであって、
秘密の質問を使って認証するという方法が悪いなどということはありえない。
この話に限らず、認証やセキュリティで特定の手法の話をすると
「その方法は全然駄目」
と反応する人が多いような気がしている。
安心で安全で簡単なセキュリティが求められているのは間違いないのだから、
柔軟な思考でいろいろ考えていくべきだと思っている。
シャクルトンとペンギン
南極探検のアーネスト・シャクルトンといえば、何年も氷に閉じ込められてペンギンを食べながら乗組員全員を生還させたという驚異の人である。冒険記を読んだときは驚愕したもので、その後私が山や海やで大変な目にあったときも「シャクルトンはもっと大変だったんだし!」と思って頑張ることができたのであった。(もちろんレベルは全然違うのだけど)
それにしても毎日ペンギンばかり食べて生きていけるものなのか不思議だったのだが、イギリス人のシャクルトン達にとっては実はペンギンは普通に御馳走だったのかもしれないという気がしてきた。日本人だったら食事的に発狂してたのではなかろうか? 食べ物にこだわらないイギリス人の特性のために生き残れたのかも??
ちなみに英国ではシャクルトンは冒険家というよりも優れたリーダーとして高く評価されているようで、「シャクルトンに学ぶ経営手腕」みたいなビジネス書が沢山売られている。戦国武将みたいな扱いなのかもしれない。