web-dev-qa-db-ja.com

セキュリティの質問はパスワードを覆しますか?

セキュリティの質問は、パスワードを解読するのを難しくしますか?たとえば、サイトで特定のスキーム(長さ+必要な文字セット)のパスワードが必要で、セキュリティの質問がある場合、なぜセキュリティの質問の代わりにパスワードを解読しようとするのでしょうか。これらに対するほとんどの回答は短く、文字の種類も少ないと思います。たとえば、「母の乙女名」(やや一般的な質問)は通常、まともなパスワード(パスワード要件を満たした後でも)ほど長くはなく、文字のみが含まれていることがよくあります。サイトでセキュリティの質問が必要な場合、ランダムな文字を含む長い文字列を入力するのが最善ですか?

authenticationpasswordspassword-managementsecret-questions
53
Thomas Eding

サイトがセキュリティの質問を使用する方法は、(適切なパスワードを使用することにより)より強力な認証メカニズムを損なうかどうかを決定します。

通常、ユーザーがセキュリティの質問に回答した後でユーザーにアクセスできるシステムは、(別の安全な)チャネルを介して(一時的な)パスワードをユーザーに通知するシステムよりも脆弱です。前のステートメントはベストプラクティスを伝えており、特定のシステムはそのすべてを実装する必要はありません。一部のシステムは新しいパスワード(ユーザーが変更する必要はありません)を提供し、安全でないチャネルを介してパスワードを通信する他のシステムがあります。

セキュリティの質問にランダムな文字を入力することは必ずしも良いアプローチではありません(ただし、エントロピーが低く、答えが小さい方が良いです)。覚えにくいため、潜在的なロックアウトシナリオが発生します(これは多くの場合、回復のポイントはありません)。セキュリティの質問は、パスワードとは異なり、定期的に変更されないことがよくあります。したがって、回答は、回答が(ユーザーとシステムの両方によって)どれだけ適切に保護されているか、回答が実際にどの程度公開されているか、および質問(および回答)が変更される頻度に依存します。

これを読む 関連するStackOverflowの質問 をお勧めします。回答は、潜在的なロックアウトシナリオなどの他の問題の中でも特に、帯域外通信について説明しているためです。

25
Vineet Reynolds

はい。

これらの「セキュリティ」の質問には、「便利な質問」が適しています。パスワードをバイパスして、同じアカウントにアクセスする別の方法です。このような質問への回答は通常、既存の単語で構成されているため、辞書攻撃や完全な推測の標的として最適です。攻撃者がすでにいくつかの個人情報を持っている場合、事態はさらに悪化します。

「セキュリティの質問」を提示する(そしてそれを必須にする)何かにサブスクライブする必要がある場合にできる最善の方法は、本当に長い一連の文字化け文字を入力することです。

13
tdammers

Googleの個人知識の質問の展開に基づく2015年の調査には、それらに関する多くの問題の多くの証拠が含まれています: 秘密、嘘、およびアカウントの回復:Googleでの個人知識の質問の使用からの教訓

いくつかの調査結果:

  • 秘密の質問は通常、ユーザーが選択したパスワードよりもはるかに低いセキュリティレベルを提供します
  • 偽の回答を提供したことを認めたユーザーのかなりの割合(37%)は、「推測しにくくする」ために偽の回答を提供しましたが、全体としてこの動作は、人々が予測可能な方法で回答を「強化」するのとは逆の効果をもたらしました
  • 秘密の答えの記憶力は驚くほど低く、成功率は60%ですが、SMSリセットコードは80%です。
  • 最も安全である可能性のある質問(たとえば、最初の電話番号は何ですか)も、最も記憶に残る質問です

彼らはそれを結論付けます

安全で思い出に残る秘密の質問を見つけることは不可能に近いようです。秘密の質問は、他のシグナルと組み合わせるとある程度の使用が続きますが、それらを単独で使用するべきではなく、ベストプラクティスはより信頼できる代替案を優先する必要があります。

11
nealmcb

答えられないようにしたい場合は?このようなサイトのほとんどは、とにかくメールでパスワードをリセットする必要があるため、どこにでもアクセスするにはメール情報が必要になります。答えは、ほとんどの場合、常にパスワードをリセットすることによって他の人に迷惑をかけないようにするためです。

「秘密の」質問によってのみパスワードをリセットできる場合は、セキュリティがひどいものになります。

7
Andreas

はい。他の理由でパスワードと秘密の質問/回答の両方が共有秘密であり、ベストプラクティスで第三者とそれらの秘密を共有しないことが規定されているが、それがまさに秘密の質問を提供するときに求められることである場合/回答。

「指示に従う」の代わりにすべきことは、質問、サイト名、真の答えを与えられたときに答えを生成できる単純なアルゴリズムを考え出すことです。

6
Yaur

私の秘密の質問は通常「あなたのパスワードは何ですか?」です。そして、答えは実際には何か別のものです。

できるだけランダムに、できるだけ長く答えを作成し、パスワード自体と一緒に保存します。したがって、数字が許可されない場合は、すべての文字を使用します。しかし、私は通常、それらのほとんどを20〜30文字の英数字にします。

これは私がウェブベースの電子メール(Gmail)と私のすべての銀行のパスワードで行うことです。私の銀行はサービス拒否攻撃に対して脆弱です(間違ったパスワードはユーザーIDをブロックします)。そのため、ランダムかつ最大長で、秘密にされたユーザーIDを選択する必要がありました。

3
Dabs

はい、実際の質問に答えたり、短い答えを出すよりも、ランダムな文字を含む長い文字列を入力する方が良いです。このアプローチを採用することにした場合は、忘れてしまう可能性が非常に高いため、必ず覚えておく必要があります。

0
Rebeca