母親の旧姓は何ですか?この質問は、太古の昔から身元確認のための二次認証として使われてきたようです。時が経つにつれ、認証の質問はより多様化しました。今では、サイトでは高校に通った都市、好きな先生は誰だったか、初めての車は何だったかといった質問をされるようになりました。
しかし、ほとんどの認証質問の問題点は、必要な情報がGoogleで1、2回検索すれば見つかることが多いことです。10年前、いや5年前でさえ、このような難解な質問の答えを見つけるのは今よりはるかに困難だったかもしれません。しかし、ソーシャルネットワークで情報が過剰に共有される現代では、あなたの個人情報がすべてどこかに漏れている可能性は十分にあります。
自分に関する一連の質問に答え、その結果を友人グループに伝えるというインターネットミームに参加したことがありますか?多くの人が経験しています。この行為の目的は、より多くの情報を共有し、人々をより深く知ることですが、その代償として、こうしたアンケートは認証質問と同じような、やや曖昧な情報を対象としていることが多いのです。
認証質問の真の問題は、パスワードと同じように推測されたり、侵入されたりする可能性があることです。攻撃者はあなたの好きなスポーツチームを知らないかもしれません。しかし、ソーシャルネットワークのプロフィールからいくつかの文脈上の手がかりを得たり、Twitterであなたのツイートを検索したり、あるいは単に正しいスポーツチームを見つけるまで様々なスポーツチームを試したりすれば、攻撃者は認証質問を突破できる可能性があります。
ユーザー名と同様に、認証用の質問はセキュリティを強化するもののように思えるかもしれません。そして、ある程度は確かにその通りです。しかし、ユーザー名は簡単に推測され、ソーシャルネットワーキングのおかげで認証用の質問はますます簡単に回避できるようになっています。この中でパスワードこそが最も難しい部分であるはずですが、セキュリティ専門家が長年にわたりより良いパスワードの選び方について研究を重ねてきたにもかかわらず、多くの人がいまだに猫の名前や「123456」といったパスワードを使い続けています。
少しは役に立つかもしれない解決策の一つは、架空の答えを作ることです。例えば、あなたがオマハの高校に通っていて、オンライン上の誰もがあなたがオマハの高校に通っていたことを知っています。しかし、認証用のセキュリティ質問では、答えを「メトロポリス」や「オニオンリング」などに変えて、その情報は自分だけに留めておくことができます。
一部のサイトやサービスでは、独自の認証質問を作成できます。これは、あなた以外には誰も答えられないようなユニークな質問を作成する絶好の機会にもなります。質問と回答の両方が奇抜であればあるほど、攻撃者に推測される可能性は低くなります。
ウイルス、フィッシング攻撃、その他のマルウェアからデータを保護するには、PC、スマートフォン、タブレットなど、デバイスを問わず、何らかのクロスデバイスセキュリティツールを導入する必要があります。しかし、他の場所に保存されている情報への不正アクセスを防ぐには、2要素認証の方がより効果的な保護対策となります。
攻撃者はあなたのユーザー名を推測し、認証質問の答えをGoogleで検索し、パスワードを解読できる可能性があります。しかし、データへのアクセスに、アカウントに登録した携帯電話にのみ送信される固有のPINも必要であれば、侵入ははるかに困難になります。
