主にWEB関係の話。

スポンサード リンク

パスワードの意味がない!!! パスワードリマインダの危険性 Part2

先日、パスワードリマインダの危険性について記事を書いたのだけど…。
ポータルサイトの大御所的存在である、Yahoo Japanでさえ、このパスワードリマインダが微妙すぎる。


Yahoo側が用意している質問には

・中学時代に所属していたクラブは?
・子供の頃のあだ名は?
・初恋の人の名前は?
・初めて買った車は?

といった、ある程度親しい友人・知人であれば知ってそうな質問項目が含まれる。
また、日常の会話の中でこれらの情報をこぼす事もあると思うので、知り合いであれば容易に特定可能であると考える事が出来るのでは無いだろうか。

Yahooのパスワードを忘れた場合の処理は、

IDを入力 →秘密の質問が表示されるので秘密の質問に回答 →パスワード再設定画面 で新しいパスワードを入力→ パスワード再設定完了

これだけ。
例えば秘密の質問を
「中学時代に所属していたクラブは?」
にして、
「バスケ部」
などと、正直に回答していた場合、中学時代の友人であれば容易にパスワード変更できてしまう状態にあると言える。
中学時代の友人で無くとも、「あ、俺中学の頃○○部だったから~」と、知人友人に話す事もあるだろう。ブログにだって書く人いるだろうし。

致命的なのは、この秘密の質問とその回答は一度設定すると「変更不可」らしい。

「秘密の質問と答え」を設定するには
「秘密の質問と答え」とは、Yahoo! JAPAN IDの登録情報として設定する、あなたしか知らない「質問」と「答え」を組み合わせた言葉です。パスワード再設定の際、お客様の本人確認に使われます。このため、設定後の確認や変更はできません。

パスワードを「定期的に変更しましょう」「簡単に推測出来ない文字列にしましょう」というのは良く言う話ではあるが、場合によっては容易に推測可能である秘密の質問を「変更出来ない」というのはどうなのだろうか。

これじゃ、パスワードリマインダとして、「秘密の質問」形式を取るよりは、パスワード変更用のパスワード として登録時に任意のワードを入力させる方がまだマシな気がする。

と、パスワードリマインダ というワードでGoogle検索したら
茨城県警「パスワードリマインダー機能に関する注意」という記事が引っかかった。

追記:
はてブでコメントを頂いていたので、紹介してみる。

そもそも何がいけないのかというと、秘密の質問が全然秘密ではないのである。スラッシュドットの記事のコメントで指摘されているように、”パスワードを忘れたときのために、より強度の低いパスワードを設定するってナンセンス”なのだ。
Yahoo! Japan ID が危ない-まじかんと雑記

(゚∇゚)ナカーマ!

Part3でまとめてみる。

スポンサード リンク

人気記事

最近の投稿

カテゴリー

タグ