この「パスワードを忘れた」手順は安全ですか？

まず、合法性に関する質問は https://law.stackexchange.com に送信する必要があります。残りは、秘密の質問のセキュリティとIDのセキュリティに分解してみましょう。

秘密の質問

秘密の質問を使用してアカウントを回復することは、基本的にはかなり以前から「非推奨」のセキュリティ対策でした。なぜこれが悪い考えであるかという私の例は、2008年の米国大統領選挙におけるサラペイリンのメールアカウントのハッキングです。彼女のメールにアクセスした人は、yahooのパスワードリセット機能を使用してアクセスしました。秘密の質問を使用し、彼女の質問/回答はすべて、彼女の人生について公開されている情報に基づいていたためです。

一般的なヒントとして、私がセキュリティの質問を使用するサイトに遭遇したときはいつでも、私は実際に尋ねられた質問のいずれにも答えません。代わりに、長いランダムな文字列（パスワードマネージャーに保存するなど）を生成し、それを回答に使用します。セキュリティに関する質問は個人情報に基づいているため、主に標的型攻撃（別名Sarah Palin）のリスク要因です。その結果、セキュリティ保護用の質問への回答としてランダムな文字列を使用すると、2年生の先生のミドルネームを誰かが知っていても、銀行口座に侵入することはできません（実際には回答しなかったため）彼らが尋ねた質問）。つまり、サイトがセキュリティの質問を使用している場合は、それをパスワードのように扱い、長いランダムな文字列を提供します。また、サイトを設定した人が実際にセキュリティを十分に機能させていないことにも注意してください。

しかし、実際の質問については、「これは安全ですか？」です。安全は、セキュリティの世界では意味のない用語です。安全なものはありません。それは、「私の目的にとって十分安全」でしかありません。その観点から、私はおそらくあなたの答えをプレーンテキストで保存していたとしても、あまり心配することはないでしょう。いくつかのセキュリティの質問への回答は、攻撃者にとってあまり役立たないでしょう。最近ではまだほとんど使用しておらず、質問自体もサイトごとに異なるためです。その結果、誰かがあなたが使用している1つのサイトであなたのセキュリティの質問に対する回答を得たとしても、あなたが使用した1つのパスワードを見つけた場合と同じように、他のアカウントにアクセスすることはできません。どこにでも。しかし、今こそ、セキュリティの質問があるシステムですべてのアカウントを見つけて、実際の答えの代わりに意味不明なものに置き換える（または、これらの人々が何をしているのかわからないため、単にアカウントを削除する）ときです。

メールID

あなたはこれに対する答えを自分でよく知っていると思いますが、大声で言ってください：安全でないチャネルを介して機密性の高いPI（個人情報）をメールで送信することは間違いなく悪い考えです。ただし、この場合は、セキュリティ対策が不十分であることを少なくとも通知できるという利点があります。安全なHTTPS接続を介してコンピューターのWebカメラを使用して自分のIDの写真を撮る必要があるシステムをかつて使用しました。もちろん良さそうです（少なくとも、それをうまく行うために最低限必要なことです）。私が知っているのは、私が知っていることすべてですが、後でハッカーが見つけてニュースに飛び散るパブリックAWS S3バケットに私のIDの写真を保存しました（ そして隔日発生 ）。

それほどの慰めにはならないことは承知していますが、個人情報を暗号化されていないチャネルに送信するのはひどい考えであることは明らかなので、良いニュースを見つけようと思います。少なくとも今、あなたは彼らのセキュリティがひどいことを知っており、それに応じて対策を講じることができます-このサイトにユニークで長いパスワードを生成して使用し、セキュリティの質問への回答を長いランダムな文字列に変更し、システムにほとんど情報を保存しないデータをどのように使用および保存しているかについて、できる限り誰にでも大声で不平を言うことができるからです。彼らがあなたのデータを違法に保存していることも確認できれば、あなたは不平を言うことができるまったく新しい人がたくさんいるので、おそらくそれについて何かができるかもしれません（しかし私は息を止めません）。