« 締め直し | トップページ | 子供の名前 »

なぜパスワード再発行機能を続けるのか

 前から疑問に思っていたのですが、なぜ、アカウントを登録するときに、「『秘密の質問』の答え」なるものを登録しなければならないサイトが多いのでしょう。それも、判で押したように、「母親の旧姓は」とか「ペットの名前は」とか「出身小学校の名前は」とかいう質問が用意されているのですが、こんなものは、もともと回答のバリエーションが少ないから、ブルート・フォース・アタックでも簡単にハッキングできてしまうし (もっとも、よっぽど運が悪くない限り、解読される前にアカウントにロックがかかるようになっているはずですが)、ソーシャル・ハッキングでちょっと個人情報を調べても答えがわかってしまうし、わざわざセキュリティの強度を弱めているようなものだと思うのですが。

 だから、ぼく自身は、入力をスキップできる場合には入力しませんし、入力しないとアカウントを登録できない場合には、質問とは無関係に乱数で生成した文字列を登録して、パスワード管理ソフトに記録しておくことにしています。

 警視庁のホームページにも、「パスワードの再発行機能を利用した不正アクセスに注意」って書いてあるし、みんないい加減、このシステムやめたらどうでしょう。ぼくはセキュリティ業界にそれほど詳しくないので、なんでみんなこのシステムを踏襲しているのか、いまだによくわからないんですけど。

 もし、セキュリティの強度は弱くてもいいから、パスワードを忘れたときの手続きを簡単にしたい、というユーザーのためだとするなら、少なくとも、この入力は必須ではなくスキップできるようにしておくべきだし、質問の回答を入力すると、その分セキュリティの強度が低下するという事実も明記しておくべきなんじゃないでしょうか。

|

« 締め直し | トップページ | 子供の名前 »

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/67762/7228917

この記事へのトラックバック一覧です: なぜパスワード再発行機能を続けるのか:

« 締め直し | トップページ | 子供の名前 »