「秘密の質問」に、根本的な欠陥
「あなたの最初のペットの名前は何でしたか?」「あなたの好きな食べ物は何ですか?」「あなたの母親の旧姓は何ですか?」こうした質問は、自分のパスワードを忘れた場合に備えて予め登録しておく、あるいはセキュリティ強化を目的に登録して不正なログインを防ぐための「秘密の質問」だ。しかし、これらの質問をアカウント復旧に単独で用いるのは安全でもなければ信頼性もなく、「根本的な欠陥がある」とグーグルのセキュリティ研究者ブログで、21日にエリー・バースタイン氏とイラン・キャロン氏が発表した。
簡単な答えは安全ではない。たとえば、英語圏で「あなたが好きな食べ物は何ですか?」の答えは、1回の推測だけで19.7%の確率で当てられる(ちなみに、その答えは「ピザ」)。アラビア語圏で「あなたの最初の先生の名前は何ですか?」の答えは、10回の推測でほぼ24%の確率で当てられる。スペイン語圏で「あなたの父親のミドルネームは何ですか?」の答えも、10回の推測で21%の確率で当てられる。韓国語圏で「あなたの生まれた街はどこですか?」の答えも、10回の推測で39%の確率で当てられるし、自分の好きな食べ物なら43%の確率で当てられる。
一方、難しい答えは使いにくい。たとえば、「あなたの母親が通っていた小学校はどこですか?」「あなたの図書館カードの番号は何ですか?」といった質問を使った場合、利用者が答えを覚えていられる確率が減る。質問を2つにした場合、利用者が2つとも答えを覚えていられる確率は59%だった。
両氏によると、これらの結果を踏まえ、アカウント復旧のためのより安全で簡単な方法として、SMSテキストの送信や、2つ目の電子メールアドレスの登録といった方法を併用する必要があるとしている。