新しいオンラインサービスに登録する際、私たちは必ずパスワードの作成を求められます。これにより、新しいアカウントは直ちに保護されます。もしあなたが賢明なら、完全にランダムな長い文字列を選ぶか、パスワード管理アプリケーションにその仕事をさせることができます。次に、セキュリティの問題です。

母親の旧姓、小学校の名前、初めて飼ったペットの名前などを聞かれるのが一般的です。セキュリティ質問は、潜在的なハッカーから私たちのアカウントを保護するために設計されており、追加の防御線となるはずです。

これらの質問にどのように答えますか？あなたは、真実、完全なる真実、真実以外の何ものでもないことを語っていますか？残念ながら、あなたの真実は、サイバーアーマー**に予期せぬ亀裂を生じているかもしれません。これらの質問にどのように答えるべきかを見てみましょう。

保護バリア

パスワードのヒントは確かに便利です。Windowsのパスワードを忘れた場合、役立つヒントが表示されます。これはたった一度の失敗です。Windowsのパスワードの場合、ヒントは記憶を呼び覚ますものです。好きなヒントを使うことを連想させるので、気分に合わせて隠したり開いたりすることができます。

セキュリティの問題は別です。私たちは、先に述べたような身近な疑問の組み合わせに直面することが多いので、的確な答えを出したいと考えています。セキュリティに関する質問は、追加的な防御策として行われます。しかし、今日のハイパーコネクテッド社会では、特定の答えを得ることが比較的容易であることを考慮する必要があります。

答えが簡単に見つかるようなセキュリティ対策は信用できるのだろうか？

やり方が悪かったのでしょうか？

攻撃者は、ソーシャルメディアのアカウントから簡単にアクセスできるため、色、旧姓、最初のペットなど、これらの簡単な質問を使用して攻撃を実行します。さらに悪いことに、あなたのアカウントで非常に特殊な質問と回答が使われている場合、攻撃者は他のパスワードの候補を排除することができます。

例えば、「初めて車を買ったのはどこですか」という質問であれば、攻撃者は他のもっと簡単な答えを即座に無視することができるのです。

このセキュリティの問題に対する解決策を見出したと思います。攻撃者があなたに直接関係する答えを探しているのなら、まったく別の答えを使ってはどうでしょう。

• お母様の旧姓は？ fa1c0npunc4
• 配偶者とはどこで知り合ったか B13 サイクル3
• 初めて飼ったペットの名前は？ n0str0d4mu5型

さて、これらはかなり悪い例ですが、私の言いたいことはご理解いただけると思います。もし答えがa)曖昧で、b)ランダムな文字を使っていたら、すぐに自分のアカウントのセキュリティバーを少し高く設定することでしょう。

それで大丈夫なのだろうか？

より安全だが、完全に安全とは言えない。

2015年にグーグルが、セキュリティについて学んだ教訓を探る興味深いドキュメントを公開しましたよね。彼らは、膨大な数のユーザーから寄せられた秘密の質問を分析し、この特別なセキュリティ層が実際にどの程度有効であるかを理解するために、ほとんど比類のないデータセットを使用しました。

私たちの****分析によると、一般的に秘密の質問***は、ユーザーが選択したパスワードよりもはるかに低いセキュリティレベルを提供することが確認されています。この不安は、意外なことに、ユーザーが正直に答えないことが大きな原因であることがわかりました。私たちが行ったユーザー調査の結果、偽の回答をしたことを認めたユーザーのかなりの割合（37％）が、「推測しにくくする」ためにそうした行動をとっていることがわかりました。

なぜ、私たちは嘘をつこうとしても、ひどくしてしまうのでしょうか。上のグラフにあるように、ほとんどの回答者が「安心感が増す」と考えて、間違った答えを出してしまうのです。そして、一般の人々（巨大なデータベースの小さなスナップショットではあるが）は、セキュリティの問題が自分たちに不利になる可能性があり、また利用されることを理解していると仮定することができる。

グーグルの研究チームは最終的に、セキュリティはある程度安全か、覚えやすいかのどちらかであると結論づけたが、その黄金コンビはめったに発見されない。その結果、"GoogleはSMSと電子メールの復旧を好むが、どの仕組みも完璧ではない "とした。

最適な例

残念ながら、Google社はこの調査に使用したデータベースの本当の規模を明らかにすることを拒否した。しかし、"検討中のデータには数億のデータポイントが含まれ、各質問に対して100万以上の回答が分析されている "ことが確認されました。彼らが推定するユーザー数を考えると、この数字は相当なものだと思います。

2016年、ユナイテッド航空（米国）は、顧客アカウントのセキュリティソリューションの更新を導入しました。4桁の暗証番号に依存する旧システムは、数十万ドルのフライトマイルが入る可能性のある口座には適用できないと正しく判断されたのです。今回の更新では、固有のパスワードの入力と5つの個人的なセキュリティ質問への回答が必要です。

いい感じじゃないですか？ただし、ユナイテッド航空では、お客様に強力でユニークなパスワードを選んでいただき、あらかじめ決められた答えで質問にお答えいただいています。そうです、あらかじめ決められた答えです。例えば、「あなたの親友の誕生日は何月ですか」という質問を選んだ場合、潜在的な攻撃者は、ご想像のとおり、12個の答えしか持っていないことになります。ハードな時代。

United reasonは、"お客様が直面するセキュリティ問題のほとんどは、入力内容を記録するコンピューターウイルスに起因しており、あらかじめ定義された回答を使用することで、この種の侵入を防ぐことができる "と考えています。

セキュリティ研究者のBrian Krebsは、ユナイテッド航空のITセキュリティインテリジェンス担当ディレクターであるBenjamin Vaughanに直接話を聞きました。ヴォーン氏は、「自動的に回答を提出しようとするボットプログラムを混乱させるためにランダムな質問をしており、間違って回答されたセキュリティ質問は、再度質問されないように "ロック "される」と述べている。

さらに、VaughanはKrebsに、複数回の試行が失敗するとアカウントがロックされることを確認しました。そのため、ユーザーはユナイテッド航空に直接連絡し、アカウントのロックを解除する必要があります。

伝統的な知恵

ユナイテッド航空はセキュリティホールを発見したが、その回答は問題を解決するには至らなかった。これまで見てきたように、パスワードのようなセキュリティ質問に答えるための唯一の真に安全な方法は、真にユニークでランダムなものを提供することです。これは、潜在的なハッカーが、この複雑さを阻止して、次のアカウントに移ることを期待してのことです。

一般市民がセキュリティ疲労に陥っているという結果は、職場や日常生活にも影響を及ぼすため、重要なことです。多くの人がオンラインで銀行を利用し、医療やその他の貴重な情報がインターネットに移行しているため、非常に重要です。 人々がセキュリティを利用できなければ、私たちも国も安全ではなくなります。

残念なことに、セキュリティ疲労は非常に深刻な問題です。ユーザーは疲弊している。セキュリティ侵害やパスワードの強制的な再設定は、今や一般的になっており、多くのユーザーは単に警告を無視しているだけです。このような疲労は、家庭や職場でユーザーによる危険な行動につながる可能性があります。おすすめです。

• 自動化 - セキュリティをコントロールし、スキャンやバックアップなどを自動化します。
• パスワード管理 - パスワード管理ソリューションは、LastPassやKeyPassで利用でき、セキュリティ上の懸念にも対処できます。
• 責任者になってください - データのセキュリティはあなたの責任です。私たちは、自分のデータを保有する組織に対して大きな期待を寄せていますし、それは当然です。とはいえ、家庭でしっかりとしたセキュリティ対策を行わなければ、責任の一端を担うことになります。

安全性疲労を克服するために、私たちは多くの記事を書いてきました。

セキュリティの質問にどう答えたか、最適な場所を見つけたか、パスワード管理アプリケーションを使用したか。