『パスワード忘れちゃった時の秘密の質問ってヤバくない?』はヤバくない

パスワード忘れちゃった時の秘密の質問ってヤバくない? Facebookからヒントを得て、どしどし他人のパスワード盗んで大金が引き出される…(ギズモード・ジャパン)http://www.gizmodo.jp/2011/09/facebook.html

ある意味で意外な盲点だったかもしれません。ほら、よくログイン用のパスワードを忘れた時に、母親の旧姓ですとか出身小学校名ですとかを尋ねるプライベートな秘密の質問に答えてパスワード再発行できる仕組みがありますけど、あれは非常に危険かもしれませんよ。実際、すでに大金を引き出された被害まで続出してるみたいですし!

秘密の質問に対して真面目に答えを設定するのが悪い。解決策は『秘密の質問に対して常に思い出せる全く関係のない答えを設定する』だ。

母親の旧姓→おっぱい

これでいいじゃない。

出身小学校名→おっぱい

システムにとっては全く関係のない話だ。これでソーシャルエンジニアリング仕掛けられても大丈夫だし、Facebookやらから推測されることも、たぶん、ない。