秘密の質問

セキュリティ質問は、認証手段として使用される共有秘密^{[ 1 ]}の一種です。銀行、ケーブル会社、無線通信事業者などでは、セキュリティ強化策としてよく利用されています。

歴史

金融機関は、少なくとも20世紀初頭から、顧客認証に質問を用いてきました。1906年、アメリカ銀行協会の支部会合で行われた講演で、ボルチモアの銀行家ウィリアム・M・ヘイデンは、顧客の署名記録を補完するものとして、自社が秘密の質問を利用していることを説明しました。彼は、新規口座開設時に使用される署名カードについて説明しました。署名カードには、顧客の出生地、居住地、母親の旧姓、職業、年齢を記入する欄がありました。^{[ 2 ]}

ヘイデン氏は、これらの項目の一部はしばしば空白のままであり、「居住地」情報は主に顧客との連絡に使用されているものの、母親の旧姓は「強力な本人確認手段」として有用であると指摘した。顧客の家族以外の者が顧客の口座から現金を引き出そうとすることは稀であるとしながらも、母親の旧姓は家族以外にはほとんど知られておらず、口座開設者でさえ「この質問に備えていないことが多い」ため、本人確認に有用であると述べた。^{[ 2 ]}同様に、現代の慣行では、クレジットカード会社は紛失したカードの再発行前に、顧客の母親の旧姓を求めることができる。 ^{[ 1 ]}

2000年代には、セキュリティの質問がインターネット上で広く使用されるようになりました。^{[ 1 ]}セキュリティの質問は、セルフサービスのパスワードリセットの一形態として、情報技術ヘルプデスクのコストを削減しました。^{[ 1 ]}セキュリティの質問をオンラインで使用できるようにすることで、キーストロークの記録^{やブルートフォース攻撃、およびフィッシングに対して脆弱になります。[3} ]また、人間のカスタマーサービス^担当者は^{、不正確なセキュリティ}^の回答に適切に対処できるかもしれませんが、コンピュータはそれほど熟練していません。そのため、ユーザーは、提供する回答の正確なスペル、場合によっては大文字と小文字を覚えている必要があり、これにより、より多くの回答が書き留められ、物理的に盗難される危険性があります。

応用

ソーシャルメディアの普及により、従来のセキュリティ質問の多くはもはや役に立たず、安全でもありません。セキュリティ質問は、パスワードメカニズムの別の形にすぎません。したがって、セキュリティ質問は、他の人と共有したり、ソーシャルメディアのウェブサイトで容易に入手できる情報を含めたりすべきではありません。また、シンプルで覚えやすく、推測が難しく、長期間にわたって変わらないものでなければなりません。すべての質問がすべての人に有効であるとは限らないことを理解したRSA（米国のネットワークセキュリティプロバイダー、EMCコーポレーションの一部門）は、銀行に150種類の質問を提供しています。^{[ 1 ]}

多くの人がセキュリティ質問の有用性に疑問を抱いています。^{[ 5 ]}^{[ 6 ]}^{[ 7 ]}セキュリティ専門家のブルース・シュナイアー氏は、質問は個人に関する公開情報であるため、ハッカーにとってパスワードよりも推測しやすいと指摘しています。このことを知っているユーザーは、質問に対して偽の回答を作成し、その後忘れてしまうため、セキュリティ質問の目的が損なわれ、投資に見合わない不便が生じてしまいます。^{[ 8 ]}

参照

参考文献

^ ^a ^b ^c ^d ^eレビン、ジョシュ (2008年1月30日). 「ハネムーンはどの都市で過ごしましたか？そして、銀行のセキュリティに関する、とんでもなく愚かな質問」 . Slate.
^ ^a ^b William M. Hayden（1906）、「貯蓄銀行のシステム」、The Banking Law Journal、第23巻、909ページ。
^ボノー、ジョセフ、バーステイン、エリー、イラン、キャロン、ロブ、ウィリアムソン、マイク (2015年5月18日). 「秘密、嘘、そしてアカウント回復：Googleにおける個人情報質問の利用から学ぶこと」.第24回国際ワールドワイドウェブ会議議事録. イタリア、フィレンツェ：国際ワールドワイドウェブ会議運営委員会. pp. 141– 150. doi : 10.1145/2736277.2741691 . ISBN 978-1-4503-3469-3。
^ Xie, Hong (2021-05-30). 「Facebookユーザーが『質問ゲーム』をすることで、知らず知らずのうちにパスワードのヒント詐欺に加担している」「 .あなたのコンテンツ. 2021年7月17日取得.
^ロバート・レムノス、「あなたの「秘密の質問」は簡単に答えられますか？」 MITテクノロジーレビュー、2009年5月18日（2015年5月21日閲覧）
^ Victor Luckerson, Stop Using This Painfully Obvious Answer For Your Security Questions Archived 2024-12-01 at the Wayback Machine , Time Magazine , 2015年5月21日 (2015年5月21日閲覧)
^ Elie Bursztein、「新たな研究：『セキュリティに関する質問』に対するいくつかの難しい質問」、第24回国際ワールドワイドウェブ会議（WWW 2015）、イタリア、フィレンツェ、2015年5月18日～22日； Googleオンラインセキュリティブログ、2015年5月21日（2015年5月21日閲覧）
^ブルース・シュナイアー (2005年2月11日). 「セキュリティ質問の呪い」 .

[Levin-1] レビン、ジョシュ (2008年1月30日). 「ハネムーンはどの都市で過ごしましたか？そして、銀行のセキュリティに関する、とんでもなく愚かな質問」 . Slate.

[:0-2] William M. Hayden（1906）、「貯蓄銀行のシステム」、The Banking Law Journal、第23巻、909ページ。

[3] ボノー、ジョセフ、バーステイン、エリー、イラン、キャロン、ロブ、ウィリアムソン、マイク (2015年5月18日). 「秘密、嘘、そしてアカウント回復：Googleにおける個人情報質問の利用から学ぶこと」.第24回国際ワールドワイドウェブ会議議事録. イタリア、フィレンツェ：国際ワールドワイドウェブ会議運営委員会. pp. 141– 150. doi : 10.1145/2736277.2741691 . ISBN 978-1-4503-3469-3。

[4] Xie, Hong (2021-05-30). 「Facebookユーザーが『質問ゲーム』をすることで、知らず知らずのうちにパスワードのヒント詐欺に加担している」「 .あなたのコンテンツ. 2021年7月17日取得.

[5] ロバート・レムノス、「あなたの「秘密の質問」は簡単に答えられますか？」 MITテクノロジーレビュー、2009年5月18日（2015年5月21日閲覧）

[6] Victor Luckerson, Stop Using This Painfully Obvious Answer For Your Security Questions Archived 2024-12-01 at the Wayback Machine , Time Magazine , 2015年5月21日 (2015年5月21日閲覧)

[7] Elie Bursztein、「新たな研究：『セキュリティに関する質問』に対するいくつかの難しい質問」、第24回国際ワールドワイドウェブ会議（WWW 2015）、イタリア、フィレンツェ、2015年5月18日～22日； Googleオンラインセキュリティブログ、2015年5月21日（2015年5月21日閲覧）

[Schneier-8] ブルース・シュナイアー (2005年2月11日). 「セキュリティ質問の呪い」 .

[ 1 ]

[ 2 ]

やブルートフォース攻撃、およびフィッシングに対して脆弱になります。[3

担当者は

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]