「セキュリティ質問」の問題に関するインフォグラフ

米Googleの調査によると、オンラインサービスのセキュリティを高める目的で用いられている「セキュリティ質問」はサービス提供側やユーザーが期待するような効果を発揮していない。

セキュリティの質問は、パスワード変更時などパスワードを使わずに本人を確認するために使用されている。第3者には答えにくく、しかし本人は確実に答えられるものが望ましいが、それら2つの両立は難しい。容易に覚えられる答えは安全性が低く、本人以外が答えられないような質問にすると本人も答えられなくなる可能性が高まる。

例えば、「あなたの好きな食べ物は?」というセキュリティ質問だと、英語ユーザーでは「ピザ」という答えが19.7%を占める。これでは攻撃者が容易に当てられる。スペイン語ユーザーに対する「あなたの父親のミドルネームは?」という質問は10回の予想で当たる確率が21%、韓国語を話すユーザーに対する「あなたが生まれた都市は?」という質問が10回の予想で当てられる確率は39%である。

攻撃者に当てられにくい質問にすると、本人の正答率も下がってしまう。例えば、「あなたの図書館カードの番号は?」の正答率は22%、「あなたのマイレージアカウントの番号は?」は9%である。また、こうした番号を答える質問に対して37%もの人がより安全性を高めようと実際とは異なった数字を登録している。ところが、人々が作る数字の組み合わせはパターン化しやすく、実際の数字よりも攻撃者に破られる可能性が高まるという逆効果が見られる。

簡単な質問でも複数にすると安全性が高まる。「あたなが生まれた都市は?」「あなたの父親のミドルネームは?」に、10回の予想で攻撃者が答えを当てられる確率はそれぞれ6.9%と14.6%だが、2つともに当てられる確率は1%未満だ。しかしながら、1つずつならそれぞれ79%と74%である本人の正答率が2つだと59%に下がる。これも効果的なソリューションとは言いがたい。

オンラインサービス側はセキュリティと覚えやすさのバランスを図っているものの、英語ユーザーの40%がセキュリティ質問の答えが必要な時に思い出せないのが現状だ。

Googleは本人確認の手段としてセキュリティ質問の効果は低いと判断しており、セキュリティ質問の答えだけでアカウント所有者と認めることはない。セキュリティコードを受け取るSMSやバックアップのメールアドレスが機能していない時に本人を確認する手段の1つに位置付けている。そのため同社は2段階認証を有効にした上でセキュリティコードを受け取る電話番号やメールアドレスをしっかりとアップデートし、またバックアップコードなどいざという時に本人を証明する方法を準備しておくように呼びかけている。