-Security question - Wikipedia
--https://en.wikipedia.org/wiki/Security_question
-->A security question is form of shared secret used as an authenticator. It is commonly used by banks, cable companies and wireless providers as an extra security layer.
-2015年7月の呼びかけ:IPA 独立行政法人 情報処理推進機構
--https://www.ipa.go.jp/security/txt/2015/07outline.html
-->「その秘密の質問の答えは第三者に推測されてしまうかもしれません」
-->「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインターネットバンキングでの本人を確認するための機能です。例えば、パスワードリマインダで利用する場合、あらかじめ「質問」と「答え」を設定しておくことで、パスワードを忘れた際には「秘密の質問」によって本人確認をします。しかし、「秘密の質問」のみで本人確認とすることにはセキュリティ上の懸念があります。
-->2015年5月、Google社が「秘密の質問」に関する研究結果を発表したことが報じられました。それによると、「秘密の質問は、それ単体でアカウント復旧の仕組みとして使用するには、安全性も信頼性も十分ではない」とされています。
-->2014年9月には、iCloudに保存されていた米国人気女優やモデルなど著名人のプライベート画像が多数流出した件で、Apple社が調査状況を公表しました。それによると、「ユーザ名、パスワード、セキュリティーのための質問を対象とした非常に的を絞った攻撃」によってアカウントが乗っ取られてしまったことが明らかにされており、「秘密の質問」も狙われたと考えられます。
-Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google - Google AI
--https://ai.google/research/pubs/pub43783
-実は危険な“秘密の質問”、Googleが研究結果を発表 -INTERNET Watch Watch
--https://internet.watch.impress.co.jp/docs/news/703219.html
-->秘密の質問は、ウェブサービスにおける緊急時の個人認証手段として普及している。しかし、簡単な質問では、一般的な知識や文化的背景をもとにすれば簡単に推定されうる。Googleによると、例えば、英語圏での「好きな食べ物は?」という質問には、1回の推測だけで答えが当たる確率は19.7%。同様に、10回の推測であれば、アラビア語圏の「最初の先生の名前」は24%、スペイン語圏の「父のミドルネーム」は21%の確率で当たってしまうという。
-->一方で、難しすぎる質問にも問題がある。米国ユーザーの40%は、必要な時に質問の答を思い出すことができなかった。また、2つ以上の質問を設定することも弊害が多く、攻撃者が10回の推定で正解する可能性は1%だが、本来のユーザーが答を思い出せる可能性は59%にとどまってしまう。
-nilog: 国の機関が「秘密の質問」をぶった斬り( ´∀`) 「秘密の質問にはまじめに答えない」 小さな中小企業とNPO向け情報セキュリティハンドブック[みんなでしっかりサイバーセキュリティ] (2019-06-21)
--http://www.nilab.info/nilog/?type=twitter&id=1142034169620389889
--
