パスワードの意味がない!!!パスワードリマインダの危険性 Part1

多くのユーザが利用するWEBサービスでは、パスワードを忘れた場合に、予め設定しておいた秘密の質問に応じたキーワードを入力するだけでパスワードを表示または再設定する事が出来る機能が用意されている事が多い。

この機能、パスワードを忘れた場合でも手軽に自力でパスワードを取り戻す事が出来るので、一見便利に見えるかもしれないが…

とても危険

だと思う。
その理由は以下の通り。

予め用意されている質問が単純すぎる

このパスワードリマインダ、新規登録時に「秘密の質問」を複数の選択肢の中から選択し、その質問に対する回答をユーザが入力するといった形態を取る事が多い。
で、ユーザがパスワードを紛失してしまった場合は、その秘密の質問を表示し、新規登録時にユーザが回答した内容と同一であれば、パスワードの再設定画面に進める、といった仕組みなのだけど・・・
この予め用意されている質問というのがお粗末すぎる。
例を紹介すると

・電話番号の下四桁は?
・好きなアーティストは?
・貴方の母親の旧姓は?
・貴方の星座は?
・ペットの名前は?

といった感じ。

こんな質問内容じゃ、ある程度親しい友人なんかだと軽く推測出来ちゃうんですけど・・・

恐ろしい事に、いわゆる大手のWEBサービスでも、これらの秘密の質問に対する回答と、生年月日などが一致した場合、パスワードの再設定画面に進んでしまう。
パスワードを知らずとも、悪意を持った第三者が、簡単な「秘密の質問」に回答する事でパスワードを変更できてしまうのであれば、どれ程強固なパスワードを使用したところで「ザル」ではないだろうか。何をしたいのか良くわからない。

ちなみに、こういうつまらない「パスワードリマインダ」を採用しているサービスでも、パスワードについては一家言あるようで、やれ8文字以上にしろ、だとか、やれ英字・数字の混在にしろだとか入力チェックがやたらと厳しく、矛盾している気がしてならない。

 
追記:
ちなみにYahooJapanでさえ、

IDを入力

秘密の質問が表示されるので秘密の質問に回答

パスワード再設定画面 で新しいパスワードを入力

パスワード再設定完了

というザルな流れ。

しかも、秘密の質問の「再設定不可能」っていう…。
パート2に続く

追記の追記:
まとめてみた

2010年05月12日  タグ:

Leave a Reply