パスワードの意味がない！！！パスワードリマインダの危険性 Part1 » とりあえず9JP

このパスワードリマインダ、新規登録時に「秘密の質問」を複数の選択肢の中から選択し、その質問に対する回答をユーザが入力するといった形態を取る事が多い。 で、ユーザがパスワードを紛失してしまった場合は、その秘密の質問を表示し、新規登録時にユーザが回答した内容と同一であれば、パスワードの再設定画面に進める、といった仕組みなのだけど・・・ この予め用意されている質問というのがお粗末すぎる。 例を紹介すると ・電話番号の下四桁は？ ・好きなアーティストは？ ・貴方の母親の旧姓は？ ・貴方の星座は？ ・ペットの名前は？ といった感じ。 恐ろしい事に、いわゆる大手のWEBサービスでも、これらの秘密の質問に対する回答と、生年月日などが一致した場合、パスワードの再設定画面に進んでしまう。 パスワードを知らずとも、悪意を持った第三者が、簡単な「秘密の質問」に回答する事でパスワードを変更できてしまうのであれば、

[tyru]

俺も乱数入れといたりしてるなぁ

[DNPP]

つまり全然関係ないことを入力すればいいんだな。

[amerio]

でも、パスワード忘れたら葉書で再設定しなきゃいけないニフティもうんこすぎだと思うよ。

[yocchi24]

おっしゃるとおりだとは思うけど、じゃあどうすべきかも知りたい。てか、母親の旧姓とかって友達が知ってたりするかなぁ？

[ockeghem]

パスワードリマインダは、秘密の質問・回答で担保しているのではなくて、メールを受け取れることで担保していると考えるべき。秘密の質問・回答はオマケ。だから、Amazonみたいにメールだけの方がスッキリしますね

[tenkoma]

この手の質問は無意味な答えにして、パスワード管理ソフトにつっこんでるけど、でも意味のある単語の無意味な組み合わせだったりしたので、パスワードより脆弱といえそうだなぁ

[kogawam]

何年か前にサラ・ペイリン（副大統領候補にもなった有名政治家）がYahooのアカウントをハックされたという事件があって、それはパスワードリマインダから侵入されたものらしいと聞く。

[Magicant]

俺(http://tinyurl.com/2fywvvu)より先に気付いてた人がいたのね

[hakodama]

どんな質問でも定型の回答を用意しておくと便利。犬の名前も好きな食べ物も生年月日もみんな同じ答えだ

[yP0hKHY1zj]

全然関係の無い答えに設定しているけど…

[Itisango]

"予め用意されている質問というのがお粗末すぎる。""こんな質問内容じゃ、ある程度親しい友人なんかだと軽く推測出来ちゃう"