Security

「秘密の質問」機能について

投稿日:2016年9月1日 更新日:

「秘密の質問」とは?

「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインターネットバンキングでの本人を確認するための機能です。例えば、パスワードリマインダで利用する場合、あらかじめ「質問」と「答え」を設定しておくことで、パスワードを忘れた際には「秘密の質問」によって本人確認をします。

2015年7月の呼びかけ:IPA 独立行政法人 情報処理推進機構

つまり、本人確認するための機能である。

しかし、この機能にはセキュリティ上の問題点があるため以下に気を付けること。

「秘密の質問」をどう使えばよいのか?

  1. 使わないのが一番である。
    • 「本人確認」するための他の機能(ワンタイムパスワードによる二段階認証など)がある場合は、そちらを利用する。
  2. 使用する場合は、第三者に推測されにくい内容にする。

参考サイト

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Web Security

XSS Auditor が有効になっているかチェックするためのページを作りました

目次1. XSS とは?2. XSS を防ぐためのブラウザの機能「XSS Auditor」3. Webブラウザの XSS Auditor 機能が有効かどうか調べる4. 参考 1. XSS とは? XS …

Web Security

PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか?

目次今のところの結論MySQL (PDO_MYSQL)の場合その他のデータベース用ドライバ参考 今のところの結論 データベースにも依るだろうが、そもそもプリペアドステートメントが使えないSQL文法があ …

no image

パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。(この資料はPDFでしか提供されていない) …

no image

OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました

目次1. www.owasp.org について2. 関係してそうなカテゴリーページ3. 脆弱性別対策ページApplication ArchitectureCross-site Scripting (X …

Web Security

パスワードに使える記号は明記して欲しい

パスワードに使える記号は明記して欲しいという話です。