「秘密の質問」とは?
「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインターネットバンキングでの本人を確認するための機能です。例えば、パスワードリマインダで利用する場合、あらかじめ「質問」と「答え」を設定しておくことで、パスワードを忘れた際には「秘密の質問」によって本人確認をします。
つまり、本人確認するための機能である。
しかし、この機能にはセキュリティ上の問題点があるため以下に気を付けること。
「秘密の質問」をどう使えばよいのか?
- 使わないのが一番である。
- 「本人確認」するための他の機能(ワンタイムパスワードによる二段階認証など)がある場合は、そちらを利用する。
- 使用する場合は、第三者に推測されにくい内容にする。
- 第三者に推測されにくい文字列を用意してパスワードと同様に管理する(サービス毎に別の文字列を用意する)。
- 2015年7月の呼びかけ:IPA 独立行政法人 情報処理推進機構 で紹介されているやり方でもよい。