なぜ危険なのか
秘密の質問の答えは、SNS、公開プロフィール、知人関係から簡単に推測したり検索したりできることが多くあります。出身校やペットの名前はすでに公開されているかもしれません。
攻撃者はこうした情報を集め(ソーシャルエンジニアリング)、パスワード再設定を試みます。答えが本物であるほど危険です。
安全に答える方法
質問の本当の答えをそのまま使わないでください。
- 本当の答えの代わりにランダムな文字列(偽の答え)を作って使用
- 質問ごとに異なる答えを使用
- 公開情報から推測できる質問は避ける
- 作った答えはパスワードマネージャーに一緒に保存
可能なら2FAで代替
秘密の質問より2段階認証のほうがはるかに安全です。サービスが2FAを提供しているなら、それを優先して使い、秘密の質問は本当に必要なときだけ最小限に設定しましょう。
答えを管理する
偽の答えは覚えにくいため、必ず記録しておく必要があります。パスワードマネージャーのメモや秘密の質問フィールドに各答えを安全に保管すれば、復旧時にも問題ありません。