トロイの木馬型であるダウンローダーは、セキュリティ対
アカウントを作成すると、認証のためのセキュリティの秘密の質問を設定するよう求められることがあります。 セキュリティの秘密の質問は、ログイン認証情報とともにセキュリティのレイヤーを追加します。 セキュリティの秘密の質問のベストプラクティスに従うには、アカウントごとに異なる質問を使用すること、自作の質問を避けること、複数のセキュリティ用質問を使用すること、およびセキュリティの秘密の質問と回答を定期的に更新することが必要です。
ここでは、セキュリティの秘密の質問と、質問の選択と回答の作成に関する推奨されるプラクティスについて、さらに詳しく説明します。
優れたセキュリティ用の秘密の質問とは?
最も優れたセキュリティの秘密の質問とその回答は、安全で覚えやすく、一貫性があり、具体的で予測不可能なものです。
1. 安全性:セキュリティの秘密の質問に対する回答は機密事項であり、他のユーザーには簡単に推測できないものであることを確認してください。 例えば、生年月日や住所など、デジタルフットプリントを検索して誰かが見つけることができる情報を回答に使用することは避けてください。
2. 覚えやすいこと:セキュリティの秘密の質問に回答は、書き留めておかなくても思い出せるものでなければなりません。 ログインしてからどれだけ時間が経っていても、すぐに頭に浮かぶものでなければなりません。 例えば、初めて行ったコンサートや初めて訪れた国などは思い出深いものです。 ただし、誰かがあなたのソーシャルメディアのプロフィールを見て、あなたの情報をオンラインで見つけることができないことを確認してください。
3. 一貫性:セキュリティの秘密の質問に対する回答が事実に基づいており、時間の経過とともに変化しないようにしてください。 例えば、ご両親が出会った街の名前はおそらく変わらないでしょう。
4. 具体的であること:大まかな回答は曖昧になり、サイバー犯罪者に推測されやすくなります。 例えば、初めて飼うペットの名前は、犬や猫といった動物の種類の回答ではなく、具体的であなた独自のものです。
5. 予測不可能であること:セキュリティの秘密の質問に対する回答が容易に予測できない、あるいは公開情報によって取得できないものであることを確認してください。 好きな色や好きな食べ物など、一般的な詳細情報は避けましょう。
しかし、パスワードマネージャーを使用すれば、質問と回答の両方を安全なデジタルボルトに保存し、どのデバイスからでも簡単に取得できるため、回答が覚えやすく一貫性があるかどうかを心配する必要はありません。
セキュリティ用の秘密の質問を強力にする方法
これらのベストプラクティスに従って、セキュリティの秘密の質問がアカウントの安全性を維持するようにしてください。
アカウントごとに異なるセキュリティ質問を使用します
複数のアカウントで異なるセキュリティの秘密の質問を使用することで、アカウントが簡単に侵害されないようにします。 アカウント間で同じセキュリティの秘密の質問とその回答を使用すると、攻撃者は同じ情報を使用して複数のアカウントにハッキングできます。 異なる質問と答えを設定することで、攻撃者が回答を推測した場合に、同じ情報を使用して複数のアカウントを侵害しようとすることを防ぐことが可能です。
自作の質問は避ける
セキュリティの秘密の質問を書くオプションが与えられている場合、推測しやすい答えや、オンラインソースで公開されている回答を意図せずに選んでしまう可能性があります。 セキュリティの秘密の質問を自分で書くことは避け、その代わりにウェブサイトがすでに作成した質問を使用してください。
複数のセキュリティの秘密の質問を使用する
複数のセキュリティの秘密の質問を設定することで、認証プロセスのセキュリティと保証レベルが向上し、サイバー犯罪者がすべてのセキュリティの秘密の質問に対して正しく回答する必要があるため、不正アクセスを行う隙を減らすことができます。
セキュリティの秘密の質問を更新する
アカウントの安全性を維持するため、定期的にセキュリティの秘密の質問を確認する必要があります。 これにより、回答をまだ正しく把握できていることを確認し、更新や変更が必要かどうかを判断できます。 また、セキュリティの秘密の質問を更新すると、より安全な新しい質問や回答を選択できるようになるため、アカウントのセキュリティが強化されます。
優れたセキュリティ保護用質問の例
優れたセキュリティ保護用質問の例を 4 つご紹介します。
- 子供の頃に好きだったキャラクターの名前は? この質問はあなた独自のものであると同時に、あなたの回答が決して変わることはありません。
- ご両親はどちらの都市で出会いましたか? この質問には、不変で一貫した回答が続くものなので、良い質問です。 また、その回答は個人的な詳細であり、回答の候補は多岐にわたります。
- 子供の頃に初めて飼ったペットの名前は? この質問は、記憶に残る、あなた特有のものです。 さらに、ソーシャルメディアでの過剰な共有を避ければ、その答えを他の人が知る可能性は低いです。
- 一番年上のいとこのミドルネームは? これは、あなただけが知っていることなので、良い質問です。 脅威アクターは、ミドルネームはもちろん、あなたのいとこの情報を見つけるのも困難です。
悪いセキュリティ保護用質問の例
セキュリティ保護用質問の悪い例を 4 つご紹介します。
- どの都市で生まれましたか? この情報はソーシャルメディアのアプリで見つけることができ、また簡単に推測することができるので、これは悪い質問です。
- 出身高校はどこですか? この情報は、Linkedin、Instagram、Facebook アカウントなどのソーシャルメディアでも見つけることができます。
- 好きな色は? 回答可能な範囲が限られているため、回答が簡単に推測されてしまいます。 「ターコイズのアクアブルー」のように回答するなど、本当に特定の場合は除きます。 しかし、その場合でも、この情報をすばやく思い出すことができなければなりません。
- 母親の旧姓は? 脅威アクターは、公開記録やソーシャルエンジニアリングによってこの情報を見つけることができます。 さらに、姓は地域や文化によって予測できます。
セキュリティの秘密の質問以外の認証方法
セキュリティの秘密の質問は優れた認証方法ですが、より高い安全性を提供するオプションがある場合には、使用すべき代替手段がいくつかあります。
1. ハードウェアセキュリティキー:ハードウェアセキュリティキーは、ユーザーを認証するために使用される物理的なデバイスです。 セキュリティキーがアプリケーションに登録されると、ログイン認証情報の入力に加えて、キーをタップまたは挿入して認証できるようになります。
2. パスキー:パスキーは、パスワードレス認証の一種で、暗号キーペアを使用してユーザーの身元を認証します。 パスキーによる本人確認を求められると、生体認証を行うよう求められます。
3. 時間ベースのワンタイムパスワード (TOTP) :TOTPは、アルゴリズムによってユニークなコードが生成される認証方法です。 TOTP は、認証アプリ、メール、テキストメッセージ、電話を通じて提供され、30 〜 60 秒間のみ有効です。
4. マジックリンク:マジックリンクとは、メールやテキストメッセージで送信されるリンクをクリックすることで、ユーザーを認証するパスワードレス認証の一種です。 ログイン認証情報を入力すると、アプリがトークンを埋め込んだリンクを生成しますので、クリックしてください。 リンクをクリックすると、サービスがトークンの一致を確認し、アカウントへのアクセスを許可します。
まとめ:Keeper® でセキュリティの秘密の質問と回答を保存します
セキュリティの秘密の質問と回答を覚えておくことは、特に平均的な人がいくつものアカウントを持っている場合、難しいことがあります。 セキュリティの秘密の質問と回答を管理する最良かつ最も簡単な方法は、パスワードマネージャーを使用することです。 パスワードマネージャーは、すべての回答を安全に保存することで、セキュリティの秘密の質問の管理を強化します。 パスワードマネージャーは暗号化され、ユーザーがパスワード、多要素認証 (MFA) コード、セキュリティの秘密の質問、その他の機密情報を安全に保管し、簡単にアクセスできるように設計されています。Keeperパスワードマネージャーで、セキュリティの秘密の質問と回答を安全に保存します。
まずは、 30 日間無料トライアルをお試しください。