「秘密の質問」をネット上でカジュアルに聞き出そうとする試みに注意 64
ストーリー by hylom
ネット上では嘘の人格を作るしか 部門より
ネット上では嘘の人格を作るしか 部門より
insiderman 曰く、
「あなたはどこで生まれましたか?」という質問に答えることがセキュリティリスクになる、という話が話題だ(Askの本日の質問が危ない — Togetterまとめ)。
利用にログインが必要になるようなサービスでは、パスワードを忘れた際の対策として「出身地」や「好きな食べ物」「母親の旧姓」といった、「秘密の質問」を設定できるようになっているものがある。「あなたはどこで生まれましたか?」という質問に答えてしまうと、このような「秘密の質問」の答えを提供してしまうことになる可能性があるという話だ。「秘密の質問」の危険性については以前から議論されているが、最近はますますネットで気軽にコミュニケーションを取れるようになっているため、より危険性が増しているのかもしれない。
対策としては、「秘密の質問」には正直に回答を設定せず、必ず嘘の回答を設定するようにするというものがある。何を設定したか忘れてしまうというデメリットもあるが、皆様試してみてはいかがだろうか。
忘れてもいい (スコア:3)
とにかくランダム且つ長い文字列を入れる。
二つ目のパスワードに、わざわざ脆弱なモノを使うのは何か嫌。
「質問」と言いながら (スコア:3)
自然言語で答えられるわけでもなく完全一致を要求されるので、パスワードと同じ基準で作るしかないですよね。元はパスワードリカバリ用の手段なんでしょうけど、パスワードそのものとして運用されてるし…
Re:忘れてもいい (スコア:1)
私の飼っているペットの名前は
{1fe18727-0bf7-4fe3-b646-0ace78cd0822}
です。
あ、悪用しないでよねっ!
Re:忘れてもいい (スコア:1)
私の母の旧姓は,「自動ドア通ろうとした瞬間に閉まってきてビクってなると恥ずかしいよね」です.
って前にもスラドで書いたような気がするなぁと思ったら,
関連ストーリーにありました.
http://security.srad.jp/comments.pl?sid=587418&cid=2291594 [srad.jp]
なんか微妙に違うし.
こりゃ秘密の質問じゃログイン出来ないな.
Re:忘れてもいい (スコア:1)
「秘密の質問」は、パスワードを忘れた場合の救済手段として用意されていることが多く、
その場合には(パスワードを忘れないことを前提に)「秘密の質問」への答えを忘れてもいいですが、
たまに、パスワードに加えて「秘密の質問」への答えを要求するサイトがあって、
その場合には、忘れてはいけないです。
(たんにパスワードがふたつに分割されてるだけ、ということだと思うんだけど)。
共通の「秘密の回答」を用意しとけばいいのだ (スコア:2)
「あなたのペットの名前は?」
「決算大バーゲン祭」
「あなたのお母さんの旧姓は?」
「決算大バーゲン祭」
「あなたの・・・
Re:共通の「秘密の回答」を用意しとけばいいのだ (スコア:1)
Apple IDでこういうことをやろうとしたら、同じ文字列を設定するなと怒られた記憶が・・・。
# 記憶違いかも知れないのでAC
っ リスト型攻撃 (スコア:0)
それリスト型攻撃 [securityblog.jp]で一発じゃないですか!やだーー!
Re:っ リスト型攻撃 (スコア:1)
それリスト型攻撃 [securityblog.jp]で一発じゃないですか!やだーー!
それを言うなら、リバースブルートフォースでは?
もっとも、アタックする側が「決算大バーゲン祭」を固定でアカウントを変えながらアタックしている図を想像すると、ちょっとシュールな感じが...
Re: (スコア:0)
リスト型攻撃でしょう。
他のサイトで取得した決算大バーゲン祭を、他のサイトでも試みるってことなのですから。
Re: (スコア:0)
ちくわ大明神だとヒット率高いかも
それよりもこっちにしてほしい (スコア:2)
×対策としては、「秘密の質問」には正直に回答を設定せず、
○対策としては、「秘密の質問」設定は認証に採用しないで、
セキュリティリスクって元からなんとかしない(絶たない)とダメだよね。
#じゃぁどうするかはまた別のお話
そういうのは毎回嘘ついて回避してるけど、その嘘を忘れそうになるという鶏頭。
Re: (スコア:0)
忘れてもいいんじゃない?
普通のパスワードなくさなきゃいいんだから。
私は、ランダムな長い文字列を入れて、そのままそれは忘れるようにしてる。
「秘密の質問」でパスワードを取得できるようなサービスは
使えなくなっても大して困らないものばっかりだから問題ない。
Re:それよりもこっちにしてほしい (スコア:1)
そうそう、「私を生んだのは姉だった」とか出鱈目な文字列を入れて存在そのものを忘れるのが一番。
忘れとかないと「だから秘密の質問はやめろって(イラ」と精神衛生上よろしくない。
iOSアプリを開発する関係でAppleIDを登録したときは、万が一パスワードを忘れたら困るので、
ランダムな文字列を入れて、(パスワードと一緒に)パスワード管理ソフトに保存しましたが。
# 秘密の質問て、結局、「ヒントつきで文字制限のゆるいパスワード」なわけで、
# 「あああ」みたいに適当すぎるのはだめじゃないかと思うのは私だけ?
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:それよりもこっちにしてほしい (スコア:1)
そのうちPCでは「私を生んだのは姉だった」という文章を受け付けてくれなくなります。
#「言壺」だっけ?
らじゃったのだ
花街の母 (スコア:1)
>「私を生んだのは姉だった」
ひとに聞かれりゃ〜 お前の事を〜
年の離れた妹と〜
# 真っ先にこれを思い出した…
Re:それよりもこっちにしてほしい (スコア:1)
Jubilee
Re: (スコア:0)
金融系のサービスに秘密の質問が多いよ。
その辺は使えなくなるとかなり困る。
普通のパスワードなくさなきゃいいのは同意。
Re: (スコア:0)
金融系だったら直接窓口行って本人確認すればなんとかなったりするんじゃないですかね…
ものすごく面倒くさそうだけど。
Re: (スコア:0)
昼勤のサラリーマンは窓口行ってる時間無いしね。
身近なとこだと、ゆうちょダイレクトはログインするときに定期的に秘密の質問を聞いてくる。
何とかして欲しいとこだが、ゆうちょ口座自体は便利だからなあ。
Re: (スコア:0)
三井住友も東京三菱もみずほもそんなの設定した覚えがない。
まぁランダム文字列設定してそのまま忘れてるだけかもしれないが、
それで困ったことはまだないなぁ。
Re:それよりもこっちにしてほしい (スコア:1)
# パスワード本体と秘密の質問の回答には /dev/random から取り出した数値を
# 文字列化して使用しているので、そこそこ安全なはず。
Re: (スコア:0)
ごめん、多いとは言い過ぎた。
幾つかの銀行とカード会社だね。
Re: (スコア:0)
ゆうちょとか、ID/パスワード認証の後に更にひみつのしつもんに答えないといけないのとかあるし。
そんなのするくらいなら、最初からパスワードの文字数を20~30桁位にしておけよといつも思う。
鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
もっと安全なネタがあったらぜひ知りたいと思います。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
たとえばファーストメモリーがらみは、話しのネタになることがあまりないうえに、忘れにくいエピソードだからそれなりに有効かと。
(例題)自分の最古の記憶は?(答:編み機をいじっていた)
ちなみに上の例題はポケモンでおなじみの田尻智氏 [wikipedia.org]のファースト・メモリーなのだそうだ。
あるいは、大人の感覚から想像できないような、子供時分ならではの奇妙な紐づけを問題にするとか。
例えば、「猫といえば何?」というほとんど禅問答のような質問にすれば、その当人にしか絶対に到達しえないだろうし、
親しい人は勿論のこと、まして会ったことのない人から上記質問をされたら、反射的に本物以外の無難な回答をするよね。
余談だけど、大昔のリマインダーに「初めて乗った車は?」の設問に対して「ミツルハナガタ2000」と設定したことがあったけど、今思い返すと、本当に危なかったなあ。
#秘密の質問を必須にしているところに限って、出題が選択式になっていて、アレンジをかけにくいのには閉口する。
Re: (スコア:0)
だから、どんな秘密の質問なら安全かという話題じゃないのですよ。
例えば/.に「あなたのファーストメモリーは?」なんて投票が立ったら迂闊に答えちゃうんじゃないの、って話。
Re: (スコア:0)
>子供の頃飼っていた犬の名前とか
タレコミリンク先で「それ、アウト」の例に入ってますよ。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
# そういう問題じゃない?
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:2)
公的記録から調べにくいとか推測しにくいは関係ないんじゃないですかね。
タレコミ的には「Askの質問に紛れこませやすいかどうか」であって。
タレコミにはないけど、主旨だけ取り出してソーシャルエンジニアリングで広げるなら、
ネットで知り合った異性(同性でもいいけど)とチャットしてて「ペットの話」から自然に会話を広げて得られる範囲のキーワードってことで。
結局、質問とは無関係でそれなりに長いワード、ってのが一番良い気がするけどなあ
Re: (スコア:0)
えと、今回のストーリーをまるで理解されていない、ということはわかりました。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
「質問」と「答」が他者に推測しにくい(あえて不可能とは言わない)関係だったらまずまず安全だと思うんですけど。
あなたのペットの名前は?−新羅三郎、なんてのは相当のトライアル&エラーが必要な気が。
# TwitterもLineもやってないから、情報漏洩の可能性はかなり低いと思います。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
その「質問」と「答え」のセットが、「秘密の質問」パスワードを設定したサイト以外の、
カジュアルなコミュニティサイトの「今日の質問」みたいなので
「飼ってたペットの名前は?」「新羅三郎っての、変でしょうw」「www」って聞き出されるのが、
一般人(小中学生などの情報弱者)にとって、セキュリティリスクだね、
ってのがこのストーリー。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
私は自分の問題として語っていたのですが、あなたは一般論として語っていたのですね。そこに齟齬があったと。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
今回の話題は、カジュアルに会話している中で秘密の質問に対する回答を得ようとしている攻撃者、というものでしょう。
想像可能とかそんなものではなく。
あなたがネットで会話し、自然な流れで犬の話題になり、そのなかで相手はあなたから昔飼っていた犬の名前を聞き出す、みたいな。
私はコミュ下手なので具体的なことは思い付きませんが、詐欺師レベルで話がうまい人であれば、すごく自然に聞き出したりするのではないでしょうか。
ちなみに、私が幼少の頃に飼っていた犬の名前はシロです(自然な流れによる暴露)
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
私の場合はTwitterもLineもSNSもやっていないので、チャット(的なやりとり)で答を盗まれる心配はありませんが、何気ない流れの中で秘密を暴露しちゃう人はいるでしょうね。
これってソーシャルハッキングの一種ですね。怖い怖い。
Re: (スコア:0)
チャット的なやり取りとは違うけど、まさにこのスレッドで
「犬なのに人間っぽい名前を付けてましたから。」
って情報開示をぽろっとしてるじゃないですか。
今頃「犬の名前は?」という秘密の質問が出てくるサービスに
「ID:prankster」で人間ぽい名前をう秘密の質問の答えにリスト攻撃されているのかもしれません(嘘
#多分「人間ぽい名前」というのもフェイクなんでしょうけど。
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
ご明察。そんなに簡単に秘密は明かせません(^^)
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:3, おもしろおかしい)
そして「「人間ぽい名前」というのもフェイク」という情報を明かすのであった
Re:鉄壁じゃないけど、出生地からは出てこない。 (スコア:1)
そもそも秘密の質問がクソ (スコア:1)
誰だよあんなアホなものを勧めてるのは
Re: (スコア:0)
メールアドレスの二度入力とともに消え去って欲しい文化
つーか (スコア:0)
秘密の質問とか逝ってるけど
そもそもこれ自体になんのセキュリティにもなって無いんじゃね?
アカウントから発信する情報で、発信した本人 すら特定できずにガードが薄くなっていく的な?
むしろファッカーにアタックしやすい入口与えてるだけじゃね?
こういうのってセキュリティホールって岩内東山円筒土器文化遺跡の?
Re: (スコア:0)
利便性と脆弱性は時に相反するけど、この場合は脆弱性が増す危険の方がずっと大きいよね。
まあ、一般ユーザーってのは、それこそ普通の人で、守っている側も多少専門家といっても
たいていは良くて100人に一人のレベル。でも攻める側は、1万人に一人とか、100万人に一人と
いったレベルの知恵や知識や行動力を持っていたりする。
自分の管理しているサイトのサービスを充実したいという気持ちも判らんでもないが、
こういうセキュリティを台無しにしかねない仕組みは止めるべきだよね。講習会とか
あるなら先ずこういう点を教えなくちゃ。
秘密は公然 (スコア:0)
秘密というからバレる。
この例 [mie-u.ac.jp]のように・・・
メモする事が増えるだけ (スコア:0)
この手の秘密の質問って、そんなに役に立ってるのかなあ?
自分の場合、パスワード以外にメモしなきゃいけない事柄が増えて面倒くさいだけだ。
・どの質問を選んだか
・どういう回答を書いたか
パスワードはちょくちょく使うから覚えてるけど
秘密の質問で何を選んでどう答えたか覚えてないってこともあって、
これって本末転倒じゃねーかと思うことも多い。
だからたいてい手帳みたいなのにメモしとくんだけど、
どっちみち紙のメモに詳しく書いておくなら
この手の質問自体が不要だし。
Re:メモする事が増えるだけ (スコア:1)
「ひみつの質問」って大概がセキュリティを向上させる事が目的ではなく、
「パスワード忘れちゃったんですけど」というユーザーからの問い合わせに応対する
手間を省くために導入されていますよね。
要するにセキュリティを下げてでも運用コストを削減するのが目的なのですから
そういう処は「セキュリティが低くなるだろ」と文句を言っても知った事かと…いえ
「貴重なご意見ありがとうございました」とスルーされるだけです。
比率知りたいんですが。 (スコア:0)
私の利用しているサービスだと。
そもそも設問自体が作れるようになっているので
「Q:あにょ~ん?」
というよくわからん質問に答えさせられるわけですが。
(ネタはわかるでしょうが答えは、ほぼ出てきません)
設問が決められているのと、設問をユーザーが決められるの。
比率はどのぐらいなんでしょうかね?
# 設問自体作れると設問に答えを書く人いるかもしれんけど。それは自業自得よね。
Re: (スコア:0)
オリジナルの設問を作って、それに対する回答も覚えておくのは
パスワード覚えておくより難易度高そうな気もするのですが。
Re: (スコア:0)
質問:3 以上の自然数 n について、x^n + y^n = z^n となる 0 でない自然数 (x, y, z) の組が存在しない事を示せ
答え:この質問に関して、私は真に驚くべき証明を見つけたが、この入力欄はそれを書くには狭すぎる。