このブログはこちらの英語ブログの機械翻訳です。
セキュリティに関する質問は、本人認証の一般的な方法であり、おそらく以前にも遭遇したことがあるでしょう。オンラインでアカウントを作成したり、サービスにサインアップしたりする際に、ユーザーは秘密の質問に対する答えをプロバイダーと秘密裏に共有します。
通常、これらのセキュリティ質問と回答は、セルフサービスのパスワード回復に使用されます。正しい回答を入力することでユーザーが検証され、パスワードをリセットできます。また、ログインの追加認証要素としてセキュリティ質問を実装することもできます。
ただし、これらのユースケースのいずれにおいても、セキュリティ質問だけに頼ることはお勧めしません。設定は簡単ですが、セキュリティの質問への答えは、パスワードと非常によく似た方法で、ハッキング、推測、盗難に対して脆弱です。そうは言っても、セキュリティ質問で組織を保護することにまだ関心がある場合は、このブログ記事は、何が良いセキュリティ質問と回答を構成するのか、そしてそれらを効果的に使用するためのベストプラクティスを理解するのに役立ちます。
セキュリティ質問の種類
セキュリティに関する質問には、主に2つの種類があります。
- ユーザー定義の質問を使用すると、ユーザーは回答を提供したい質問をセットリストから選択できます。開発者はアカウント作成プロセスの一部としてこれらの質問を簡単に実装できますが、効果的なのは、ユーザーが発見困難な強力な回答を選択した場合のみです。
- システム定義の質問は、サービスプロバイダーがすでにユーザーについて知っている情報(住所や生年月日など)に基づいています。これらの質問は、システムがユーザーに関する十分な情報を保持していること、および回答が脅威アクターが見つけるのが難しいことに依存しています。
この投稿の残りの部分では、両方の質問タイプの実現可能性を探ります。まず、セキュリティに関する質問を他よりも優れたものにする要素を調べてみましょう。
適切なセキュリティ質問とは?
セキュリティ質問が安全な認証に積極的に貢献するためには、次の特性を備えている必要があります。
- 機密性:他の誰もが答えを推測、調査、またはその他の方法で取得できないようにする必要があります。これは回答が持つべき最も重要な特性です。回答が簡単に見つかる場合、アカウントのセキュリティを損ないます。ユーザーの周りの誰かが知っている情報や、オンラインで見つけることができる情報は機密情報ではありません。
- 記憶性:ユーザーはアカウントを作成してから長い間、答えを覚えている必要があります。理想的には、ユーザーはすぐに答えを思い出すことができ、書き留めたり、調べたりする必要はありません。
- 一貫性:質問の答えは時間の経過とともに変わることはありません。お気に入りのものや意見など、その時々にしか保証されない答えは避け、歴史的事実や永続的な情報について考えてみましょう。
- シンプルさ:答えは正確で、ユーザーに明確で、簡単に答えられるものである必要があります。あいまいな答えや、大文字と小文字の区別や特定の書式設定を必要とする答えの質問は、追跡が難しい場合があります。
- 多様性:質問に対する答えは複数ある必要があります。可能な答えが多ければ多いほど、セキュリティは向上します。誰かが答えを推測したり、ブルートフォースで答えを見つけたりする可能性が低くなります。多くのサービスプロバイダーは、失敗が繰り返されるとユーザーをアカウントからロックアウトすることさえあります。
セキュリティに関する質問のリスト
上記の原則を念頭に置いて、一般的なセキュリティに関する質問のリストを作成しました。読み進めて、他の質問よりも安全なものを見つけてください。
悪いセキュリティの質問の例
これらのセキュリティの質問は、非現実的であるか、悪用される可能性があるため、悪いと見なされます。
効果のないセキュリティ質問 | 根拠 |
|---|---|
あなたの生年月日はいつですか? | 他の人が推測しやすい—機密ではありません。 |
好きな学校の先生の名前は何でしたか? | 子供時代のトピックは、人々が覚えているには遠すぎる可能性があります。 |
好きな映画は何ですか? | これは時間の経過とともに変化する可能性があります。 |
あなたの最初の車は何でしたか? | 回答に必要な詳細レベルが曖昧です。 |
あなたの星座は何ですか? | 潜在的な答えの範囲は狭く、他の人が推測したり発見したりできるものです。 |
良いセキュリティの質問の例
上記の質問はすべて、何らかの理由でセキュリティまたはユーザビリティが不十分です。以下に、セキュリティに関する質問のリストを改訂し、より実用的または保護的なものにしました。
効果的なセキュリティに関する質問 | 根拠 |
|---|---|
あなたはどの都市で生まれましたか? | 一般的に言って、この事実はあまり知られていないため、他の人が推測するのは困難です。 |
あなたの最年長の兄弟のミドルネームは何ですか? | 通常、これは兄弟間で親密に知られており、他の人が調査するのは困難です。 |
最初に行ったコンサートは何でしたか? | 答えは変わりにくいものです。 |
最初の車のメーカーとモデルは何でしたか? | その質問は、正確かつ具体的な詳細を求めています。 |
両親が出会ったのはどの都市または町ですか? | これは個人的な詳細です。また、潜在的な答えがたくさんあるため、他の人が推測するのは困難です。 |
セキュリティに関する質問は使用しても良いですか?
セキュリティに関する質問は、組織が実装するのが簡単であり、ユーザーにとっても使い慣れていて簡単です。しかし、利点はそこで終わります。
ますます高度化する脅威の状況では、セキュリティに関する質問は終わりました。それらは低い保証の保護を提供し、私たちが提供したサンプルセキュリティの質問でさえ、推測、ソーシャルメディア、オンライン調査を通じて他の人が悪用する可能性があります。さらに、ユーザー定義およびシステム定義のセキュリティの回答は、データ侵害またはフィッシング詐欺でパスワードが盗まれるのと同じくらい脆弱です。セキュリティの専門家が使用の中止を提唱している大きな理由です。
同様に、アカウント保護の主な方法としてセキュリティに関する質問をお勧めすることはできません。より広範なセキュリティ戦略の一環として、適切なセキュリティに関する質問は、追加の認証方法として機能する可能性があると考えていますが、いくつかの条件があります。
セキュリティに関する質問のベストプラクティス
セキュリティに関する質問はアカウントを保護する最も効果的な方法ではありませんが、組織、従業員、顧客がすべて実行できることがいくつかあり、それらをより強力にすることができます。
セキュリティに関する質問を使用するためのヒント
従業員または顧客のサポートセキュリティ方法としてセキュリティ質問を使用したい場合は、脆弱性を軽減するために、次のベストプラクティスを推奨します。
- 回答の制限:ユーザー名やメールアドレス、ユーザーの現在のパスワード、「123」や「password」のような推測可能な文字列など、一般的な回答に対する拒否リストと照合して回答を確認します。回答の最小長を強制することも、そのような回答を回避するのに役立ちます。
- 質問の更新:ユーザーにセキュリティ質問を確認し、回答をまだ知っていることを確認するように定期的に求めます。これにより、変更された可能性のある回答を更新する機会が与えられ、アカウントを回復する必要がある場合に、ユーザーが最新の回答を覚えている可能性が高くなります。
- 自己作成の質問は不可:ユーザーが自分で質問を作成できるようにすると、リスクが生じます。ハッカーが答えるのが難しい、強力でユニークな質問になる可能性がありますが、弱くて悪用しやすい質問になる可能性もあります。自己作成の質問はユーザー自身のセキュリティ行動に依存しているため、セキュリティ意識の低いユーザーに独自の質問を設定するように促すと、アカウントの乗っ取りのリスクが実際に高まる可能性があります。
- 複数のセキュリティ質問を設定する:ユーザーに複数の質問を同時にすることで、特に回答が多様で、攻撃者がより不明瞭な情報を取得する必要がある場合、セキュリティ質問の保証レベルを向上させることができます。ユーザー定義の質問とシステム定義の質問を組み合わせることは、これに対する潜在的なアプローチです。いずれにせよ、ユーザーが選択肢の中から質問をされた場合、正しく回答するまで別の質問を選択することは許可しないでください。これにより、攻撃者がアカウントにアクセスするために必要な回答を推測または取得できる可能性が最小限に抑えられます。
- 暗号化されたストレージを使用する:回答にはユーザーに関する個人情報が含まれている可能性があり、異なるアカウントで再利用される可能性があります。ハッカーがシステムからセキュリティに関する回答を取得するのを防ぐために、安全なハッシュアルゴリズムを使用することを検討してください。
セキュリティの回答を設定するためのヒント
セキュリティ質問の実装は、ユーザーがベストプラクティスを理解している場合にのみ効果的です。セキュリティ回答を強化するために、従業員と顧客に提供できるアドバイスを次に示します。
- 偽の答えを使用する:他の人が見つけることができる意味のある情報で答える代わりに、他の人が検証できない偽の答えを使用します。理想的には、ランダムな文字列を使用します。その意味で、セキュリティの答えをパスワードのように扱います。より曖昧であるほど、より良いです。
- パスワードマネージャーを使用する:ランダム化されたテキスト文字列を覚えることは、真実で個人的な詳細を覚えるよりもはるかに困難です。そのため、セキュリティの回答を保存するためにパスワードマネージャーを使用する価値があります。そうすれば、それらを失うことはありません。
セキュリティの質問に代わるより良い選択肢は何ですか?
セキュリティに関する質問から完全に移行したい場合は、さまざまなレベルの保証を備えた他の対策が幅広く用意されています。
従業員と顧客を保護するためにいずれかを選択する前に、それぞれのリスクと利点、およびどれが最も高いレベルのセキュリティを提供するかを知ることが重要です。ユーザーが知っていること(セキュリティの質問やパスワードなど)に依存するものは最も安全性が低く、ユーザーが持っているもの、またはユーザーの属性の1つに依存するものは、最も高いレベルの保証を提供します。
たとえば、生体認証は、音声、指紋、DNA、顔認識など、各ユーザーに固有の識別子に依存しているため、他の認証よりも脅威に耐性があります。ユーザーは、セキュリティの回答のように生体認証の特徴を記憶または保存する必要がないため、侵害が困難になります。
一方、多要素認証(Multi-Factor Authentication:MFA)は、認証に対するコンテキスト認識型のアプローチです。組織のニーズに合わせて認証要素を組み合わせて実装し、ユーザーのログイン試行からのリスクシグナルを分析して、どの認証方法が最も適切かを判断できます。この設定により、セキュリティの質問とパスワードを多くの認証オプションの1つとして柔軟に使用し、リスクの低い状況で追加の保証のために展開したり、完全に省略したりできます。
セキュリティ質問は、知識に依存しているため、悪用の影響を受けやすくなっています。たとえば、攻撃者がセキュリティ回答を推測、調査、またはフィッシングした場合、アカウントは侵害されます。最高のセキュリティ質問でさえ、これらの攻撃に対して免疫はありません。セキュリティ質問から移行を開始し、OktaのAdaptive MFAソリューションの詳細については、データシートをご覧ください。
