「秘密の質問」には根本的欠陥があるという分析結果をGoogleが発表 70
あまり秘密じゃない秘密の質問 部門より
Googleが2015年5月21日、ブログで「秘密の質問」には根本的な欠陥があるという研究結果を発表した(Google Online Security Blog、TechCrunch、ITmedia)。
Googleは、数百万件のGoogle Accountの復旧要求に使われた数億件の「秘密の質問」とその「答え」を分析した。その結果から、「秘密の質問」は根本的な欠陥を抱えているとの結論が得られという。
根本的な欠陥とは、「答え」の安全性と覚えやすさが両立することはまずない、という点。本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。
また、国によって人名や好きな食べ物や出身地が偏っている、といった理由で答えの推測がしやすい点も問題である。たとえば、英語ユーザーでは「What is your favorite food?(好きな食べ物は?)」の質問に対し、1回の試行で19.7%が突破できてしまう。その答えは「pizza(ピザ)」だ。ほかにも、いくつかの言語圏においては特定の質問に対して10回の試行で高確率に正解できる(つまり、上位10解答の割合が高い)例が示されている。
質問に対して(覚えやすい)偽の答えを登録しているユーザーもいる。電話番号と「What’s your frequent flyer number?(マイレージサービスの番号は?)」の答えが同じであるような例だ。しかし、こうして同じ偽の答えが使いまわされていれば、攻撃者が正解する確率を高める結果となる。「正しい」答えの推測が困難な質問でも、何か既知の情報で答えれば正解する率が上がるということだ。
そして、難しい答えはしばしば本人も忘れてしまう。米国内の英語ユーザーのうち40%は秘密の質問を思い出すことができなかったという。また、安全であると期待される質問での解答率はさらに低かったそうだ。
それでは、複数の質問に答えさせるのはどうか。これは確かに攻撃者が突破できる率を低下させるものの、ユーザーが答えを忘れてしまう率をより高める。
Googleは、ユーザーとWebサイト所有者は、「秘密の質問」を使うことを考え直すべきだと述べている。そしてアカウント復旧のための本人確認にはSMSや予備のメールアドレスなどの手段を利用し、「秘密の質問」はそれらが使えない場合の最後の手段とすべきだ、としている。
答えはわかっていても (スコア:5, 興味深い)
漢字かな交じりで設定したっけ?
カタカナだったっけ?
アルファベットだったっけ?
…ああ、試行回数切れ。
Re:答えはわかっていても (スコア:1)
なので「母の旧姓(ひらがな)」とかいう質問にするんですが、
そういうのは一度失敗したからこそですね。
Re:答えはわかっていても (スコア:1)
これ第三者がかなり確実に調査できちゃうんだよな。
自分が動けなくなった時に、近しい人がアクセスできるように敢えてそうするって事もあるかもしれないけど。
Re:答えはわかっていても (スコア:1)
答えはわかる問題はどの秘密の質問を設定したかわからなくなることの方が多いこと。
Re: (スコア:0)
大丈夫、何度かやればIMEが覚えてくれる。
そして、別人が操作すると変換候補の先頭に。
#ちっともセキュリティの役に立っていない。
Re: (スコア:0)
うーん、その頃にはPCが代替わりしていて、OSもIMEも再インストール済みだったりして。
下手するとノートPCだったのが、Androidの中華パッドになってたりすることもあるから。
#同じアカウントのATOK同士なら、その手のはクラウドに保管して共有できるけど、
#中華パッドになったりChromebookになったりすると厳しいんじゃね。
「Google アカウント復旧」には根本的欠陥があるという分析結果を Printab.(略) が発表 (スコア:5, 興味深い)
Printable is bad. が2015年5月22日、スラド上で Google アカウント復旧 [google.com]には根本的な欠陥があるという研究結果を発表した(今見てるこの記事です)。
Printable is bad. は、TATSUO IKURA 氏による調査結果(Gmailのパスワードを忘れた場合のリセット方法) [ajaxtower.jp]を参考に、Google 社の パスワードアシスタントシステムの動作を分析した。その結果から、「Google アカウント復旧」は根本的な欠陥を抱えているとの結論が得られという。
根本的な欠陥とは、攻撃のターゲットとなる人物の同級生・同僚・知人・恋人・家族などであれば、ほぼ確実にアカウントを乗っ取ることが可能である、という点。わずか数分間、本人が携帯電話やスマホを手放した隙に、確認コードの不正入手が可能であり、しかも確認コードの不正入手を行ったことがターゲットにバレる恐れも殆どない。
具体的な手順としては、ターゲットとなる人物がスマホを手放している時などに、自動音声通話による確認コードの送信 [ajaxtower.jp]を実行するだけである。あとは、非通知の電話がかかってくるので、電話に出て6桁の確認コードを聞き取り、暗記するだけ。確認コードがあれば、新しいパスワードを設定して、アカウントを乗っ取ることが可能である。SMS と違って非通知の着信履歴以外の記録が残らないので、ターゲットに怪しまれる心配も殆どない。
特に 若い女子の80%くらいは非防水の iPhoneを使っている [appmarketinglabo.net] ので、iPhone がシャワールームに持ち込まれる心配も無い。ホテルでシャワーを浴びている最中に、Google アカウントを乗っ取り、内緒のメールをチェックすることだって可能である(ロックがかかったスマホであっても、掛かってきた電話を受けることが可能である)。
Googleアカウント作成時の質問に対して(覚えやすい)偽の答えを登録しようとするユーザーもいる。電話番号を「42731(しになさい)」などとするような例だ。しかし、こうした試みはすぐに失敗に終わる。Google アカウント作成時の電話番号に Googleから自動音声電話やSMSが来るからである。この結果、得られた確認番号を入力しなければ偽の電話番号登録は成功しないからだ。
Printable is bad. は、Google アカウント所有者に対して、「電話番号」を Google アカウントに登録することを考え直すべきだと述べている。そしてアカウント復旧のための本人確認にSMSや自働発信電話などの手段を利用することは避けるべきだ、としている。
なお、最近ではGoogleアカウントの取得に携帯番号登録が強制されることが多い [myu-zin.com]ようなので、そういった場合にはスマホ(LTE回線)や会社のパソコンなど別の環境で再度試してみることをお勧めしたい。ちなみに、Cookie を定期的に消したり、トラッキングを拒否したり、広告ブロックをしたりするなど、Google にとって都合が悪い行為を行っている環境では Google アカウントの取得に携帯電話番号登録が強制されることが多いようである。これは、トラッキングで過去の行動履歴を分析できないユーザーはロボットである可能性が高いという根拠に基づいているらしいが、トラッキングを拒否しようとするユーザーに対してアカウントと携帯番号番号を紐づけることで強制的にトラッキングを行いたい(効率的な広告配信に利用したい)というGoogleの陰謀であるといえる。
Re: (スコア:0)
これは興味深い話だな。
すると、音声通話の無いSMS対応SIMでロック画面にメッセージ内容を表示させない運用なら対策になるのかな。
スマホの番号では登録せずに、タブレットに差したSIMでアカウントを取得する。
Re: (スコア:0)
ひとつの可能性として知識に加えておくことは大いに意味があるけど、
身内の犯罪に無防備になっちまうのはもうしょうがねえんじゃねえかなって気もする。
身近なだけにリスクも高い。乗っ取られの事態はすぐに気付くし、端末の履歴も残る。犯罪でもある。
とはいうものの、ハックされて復旧用の情報を変更されてしまうと、通常の復旧手段を完全に喪失してしまうのは恐ろしいな。(そうなのか?)
しかしこれ、赤の他人の予備連絡先の一部が分かるのな。 @yah**.**.**なんて十中八九アレやんかw
Re: (スコア:0)
一時的にでも盗難されたらアカウントを乗っ取られるってことなんだから、身内に限らないのでは。
てかこれ本当だったらかなりやばくないか?
携番無しで作れることもあるし、作れないこともある (スコア:2)
昨日試したときには、携帯電話番号の入力無し、現在のメールアドレスの入力有り、画像認証を行う(スキップ無し)の状態で、ブラウザ終了時に Cookie を自働削除にしている、普段使っている広告ブロック無しの Firefox ブラウザから「tokyo.ocn.ne.jp」のリモートホストで試してみたところ、携帯電話番号の入力が要求されました。その後、リモートホストの変更、ブラウザの変更などをやっても携帯電話番号無しでは作れませんでした。US版のGoogleだと無条件にOKという噂もありましたが、駄目でした。
その後、docomo の LTE 接続、Cookie 消去済みの Opera ブラウザ(Android)で、数分間 Google 検索やブラウジングを行った後、アカウント作成を試みた結果、携帯電話番号・メールアドレスの入力無しでの新規アカウント作成に成功しました。
携帯電話番号の入力無しでのアカウント作成は、成功する場合もあるし、失敗する場合もあるようです。Google のことだから、様々な条件をポイント化して複合的に判断して、携帯電話番号無しで作れるかどうかを決定しているのだと思います。
今頃気づいた? (スコア:2)
ちなみに、私は、キーボードのランダム打ち。
Re:今頃気づいた? (スコア:1)
利用者側からはどう使われるのかほとんど分からないので、結局パスワードと同じくランダム生成してパスワードマネージャに入れるようにしてます...。
Re:今頃気づいた? (スコア:1)
秘密の質問って、複数のパスワードのいずれかで認証が通れば使えます、というのと同義だから要するにパスワードなんだよ。
Re: (スコア:0)
ほんと今頃ですか?と。どこぞのセキュリティ企業による洗脳で多くの銀行が無批判に導入する流れ、いい加減にしてほしい。営業にきたセキュリティ企業を最初に疑ってくれ
Re: (スコア:0)
クソApple IDにも言ってくれよ
Re: (スコア:0)
よし、じゃあオレは真空ハリケーン撃ちだ。
Re: (スコア:0)
どの質問の答えにも意味不明なフレーズをいれるってのも良いかもしれない
Q.「好きな食べ物は?」
A.「うるさいだまれしゃべるな」
Q.「母の旧姓は?」
A.「うるさいだまれしゃべるな」
Q.「卒業した小学校は?」
A.「うるさいだまれしゃべるな」
これなら回答に必要なフレーズを何か決めておいてもばれにくいし
なにより質問と回答を紐づけられても問題が起きない。
#うるさい黙れしゃべるなだとR君ネタ好きでかぶるか
Re: (スコア:0)
まずタレコミを第5段落まで読もうな。
秘密の質問はパスワードより暗号化されている可能性が低いので、パスワードの使い回しよりひどいことになる可能性が高い
秘密の質問(真) (スコア:1)
・あなたの真の名前は?
・パートナー以外で本当に好きな人の名前は?
・墓場まで持っていく秘密は?
まず答えられないし...
.
>本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。
あれって全然「秘密の質問」じゃないよね、「公然の質問」でしかない。
Re:秘密の質問(真) (スコア:4, すばらしい洞察)
> ・あなたの真の名前は?
ってのを見たところで思ったのは、
本当に「秘密」なら、他人が管理する場所に答えを書き込めるわけがないじゃないか。
根本的な欠陥は、登録できるような情報は秘密じゃないってことですね。
Re:秘密の質問(真) (スコア:2, すばらしい洞察)
Q)あなたの真の名前は?
A)こんな場所に書き込めるわけがないではないか
これで解除されるようにしとけばOK
Re: (スコア:0)
俺もこんな感じの答えを設定してるな。
Qに対してまっとうにAを返すとかあり得ん。
Re: (スコア:0)
真の名前がバレると相手に支配されちゃうからね、魔術的に
Re: (スコア:0)
真の名前がバレると相手に支配されちゃうからね、アカウント乗っ取り的に
Re: (スコア:0)
真の名前がバレると相手に支配されちゃうからね、黒歴史 (中二病)的に
Re:秘密の質問(真) (スコア:2)
自分みたいな性格でない限り公言することはないし、
忘れたり替わったりすることもないでしょう。
Re: (スコア:0)
存在を忘れたいんでそんなの入れたくないです。
忘れさせてくださいお願いします。
Re:秘密の質問(真) (スコア:1)
ちゃーんとGoogleが答えを集めてましたってネタですしね
Re:秘密の質問(真) (スコア:1)
それ以前に、与えられた選択肢の中から選ぶモノが「秘密の質問」であるわけないと思う。
the.ACount
Re:秘密の質問(真) (スコア:1)
そうそう、質問文を秘密にしないと(そうじゃない)
答えはもちろん42
Re: (スコア:0)
>墓場まで持っていく秘密は?
浮気ってかけば、そのうち当たる
Re: (スコア:0)
>・あなたの真の名前は?
「霧龍・ヘルドカイザ・ルシ・ファースト」ってのが真っ先に思いついた。
彼の場合は、わざわざチームメイトに宣伝してもらうように頼んでいたりする。
最大の課題は、誰にも覚えてもらえないことだ。
//
>パートナー以外で本当に好きな人の名前は?
ぱ、ぱーとーなーってなんですか?
例:「あなたのヨメは?」 (スコア:1)
うーん、コレ登録した時って何に嵌まってたっけ?
半年もすれば変わってしまうし、もう忘れたなー。
Re: (スコア:0)
アカウント登録年月日は日記の最初のエントリとかでだいたいわかるしその近辺で放映されていたアニメはウィキったりググったりすれば簡単にわかる。設定してはいけない秘密の質問の見本のようなものだな。
Re: (スコア:0)
いつからヨメが一人だと勘違いしていた?
つか、ヨメ候補だけで一体何十人いると思ってるんだよ。。。
>アカウント登録年月日は日記の最初のエントリとかで
この時点で無理筋。
ブログとかのセキュリティレベルの低いアカウント限定だろ、それ.
Re: (スコア:0)
そもそもヨメだと思ってる事自体が勘違いだもんなw
間違った…。 (スコア:1)
40%の人が思い出せなかったのは質問ではなく答えです。お詫びして訂正します。
今読んで気がつきました…
秘密の質問 (スコア:1)
質問項目と回答を組にして保存してある。
なお回答はひらがな乱数生成したもの
自力で復旧できる要素はない。
# セキュリティの一番弱い鎖は人間(の記憶とオペレーション)じゃないかと思う。
これやりはじめる前に普通に回答入れちゃった(しかも答えがあやふや)かつ変更がきかないのがまだちょっとだけある、かもしれない。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
秘密の質問って、質問と脈絡のないワードの組み合わせて使うもんだと
思ってたけど…、たとえば好きな食べ物は→トヨタ、見たいな。
まじめに設定する人も多そうですね。
Re: (スコア:0)
脈絡のないワードでも、辞書攻撃したら通っちゃいそうなのは微妙だなぁ…まともなとこなら回数制限はしてるだろうけど。
# もっとまともなところは、秘密の質問なんか使わないわけだけどw
ああ、確かに思い出せねぇ・・・ (スコア:1)
そもそも「秘密の質問」て変じゃない? (スコア:1)
あれ、回答は秘密かもしれないけど、質問は秘密じゃないよね。
つまりはGoogleが個人情報を集めることを正当化したい (スコア:0)
> そしてアカウント復旧のための本人確認にはSMSや予備のメールアドレスなどの手段を利用し
そうやって、Googleは電話番号やら予備のメールアドレスやらの個人情報を取得することを正当化しようとしているのですね。
Re: (スコア:0)
秘密の質問うまく使えているの?
ぜひ、方法を教えてください。
秘密の質問を自分で選ぶパターン (スコア:0)
リマインダーで回答するときもプルダウンから質問を選ばされて詰んだ
うん、つかいまわしてるわ (スコア:0)
パスワードは基本全部分けてるけど、これは全サービス共通だわ(´・ω・`) 質問はバラバラだけど。
これをはじめてみた時から使いにくいなって思ってたんだよな。
パスワードは忘れないのでお世話になることもほぼないけど。
疑問として (スコア:0)
どうやって調査したんでしょうか。Googleは「秘密の質問」の答えを平文で保存しているってこと?
日本の金融機関 (スコア:0)
どこもかしこもこのアホな仕組みを導入しているけど
やっと廃止の方向に動いてくれるのか
こんなもの導入しようとか言い出した奴の顔が見てみたい
つかiCloudクラックの時点で分かってたろ (スコア:0)
あれを「秘密のパスワードは危険」
(ブルートフォース対策すらしてなかったオマケつきだが)という前向きな話ではなく
「パスワードが脆弱だった」という話にすり替えてAppleを守った
Appleとアメリカ政府がまず大問題。
そんなことされた時点でこの世に正義などない。あるのはカネだけ。