Security

「秘密の質問」機能について

投稿日:2016年9月1日 更新日:

「秘密の質問」とは?

「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインターネットバンキングでの本人を確認するための機能です。例えば、パスワードリマインダで利用する場合、あらかじめ「質問」と「答え」を設定しておくことで、パスワードを忘れた際には「秘密の質問」によって本人確認をします。

2015年7月の呼びかけ:IPA 独立行政法人 情報処理推進機構

つまり、本人確認するための機能である。

しかし、この機能にはセキュリティ上の問題点があるため以下に気を付けること。

「秘密の質問」をどう使えばよいのか?

  1. 使わないのが一番である。
    • 「本人確認」するための他の機能(ワンタイムパスワードによる二段階認証など)がある場合は、そちらを利用する。
  2. 使用する場合は、第三者に推測されにくい内容にする。

参考サイト

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

ICTリテラシー

紛らわしいパスワードを生成しない工夫

紛らわしいパスワードを生成しない工夫について書いています。

Web Security

CSP Level 3 で Strict CSP を利用する

CSP Level 3 で Strict CSP を利用する方法について説明します。

no image

クリックジャッキング(Clickjacking)対策

対策 方法1:CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。 方法2:HTTP レスポンスヘッダに、X-Frame-Options …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …

no image

HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「HTTP ヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブ …