headless 曰く、

秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの再弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。