ユーザーにパスワードのリセットのための独自の秘密の質問を選択させるべきですか？

あらかじめ決められたセキュリティの質問は、ユーザーが定義した質問よりも攻撃者に推測される可能性が高いというコメントをします。これは、平均的なユーザーが、システムを実装するユーザーよりも優れた（たとえば、より秘密で、推測しにくい）質問を設計することを前提としています。これは、ほとんどのユーザーには当てはまらないようです。

1つの研究室の研究 で、被験者は自分のセキュリティの質問を考え出すのに平均15秒しか費やしませんでした。良いセキュリティの質問をするものの特性について考える時間は、これからです。 別の研究 研究者は、セキュリティの質問を作成する人々に、質問を設計するときに重要な要素と考えていることを尋ねました。 「記憶力」が非常に重要であると答えたのは70％が「記憶力」を非常に重要な要素であると特定しました。したがって、ユーザーが独自の質問を記述できるようにすると、推測に抵抗するのではなく、簡単に回答できるようにすることに重点が置かれるため、セキュリティが低下することがよくあります。

私は実際にこの動作を少し観察できました 私が実施した調査 数年前、いくつかのWebサイトデータベース違反の際に漏えいしたユーザー定義のセキュリティ質問/回答のペア。質問の多くが、事前定義されたセキュリティの質問リストに表示されるのと同じタイプの質問であることがわかりました。母親の旧姓、ペットの名前、出生地などです。しかし、これには、「好きな色は何ですか」などの悪い質問が含まれており、一部の回答は他の回答よりも可能性が高く、5つの推測（青、紫、緑、赤、黒）を行うと、ユーザーの回答の75％に正しく一致します。

さらに悪いことに、一部のユーザーは、自分の選択によって質問のセキュリティを完全に損なうことを選択します。一部のユーザー（1つのサイトで15％、別のサイトで2％）は、回答を質問と一致させます。少数（0.2％および1.8％）でも、質問としてパスワードをリストします。これらの場合、質問を表示できるすべてのユーザーがその情報を使用して、ユーザーとしてログインできます。ユーザーが質問を提出するときに質問をチェックしてこの動作を防止するように制御を実装できますが、それを回避しようとするユーザーに対して強制することはかなり困難です。

セキュリティの質問は、ユーザーを認証するための非常に良い方法ではありませんが、ユーザー定義の質問を許可することは、さらに悪い解決策になる傾向があります。セキュリティの質問を使用する場合は、その長所と短所を評価するのに最も適任の人々によって評価および選択される必要があります。