Security question とは

セキュリティ質問は、認証者として使用される共有秘密の形式です。これは、銀行、ケーブル会社、無線プロバイダーがセキュリティ層として広く使用されています。
金融機関は、少なくとも20世紀初頭から顧客を認証するために質問を使用してきました。ボルチモアの銀行家、ウィリアム・M・ヘイデン(William M. Hayden)は、アメリカ銀行家協会(American Bankers Association)の会議で1906年の演説で、彼の機関が顧客の署名記録を補完するものとしてセキュリティ問題を使用していると説明した。彼は、顧客の出生地、「住居」、母親の旧姓、職業および年齢のためのスペースを有する新しい口座を開設する際に使用される署名カードについて説明した。
Haydenは、これらの品物のいくつかは空白のままであり、「住居」情報は主に顧客と連絡するために使用されていたが、母親の旧姓は「強い身元証明」として有用であると指摘した。彼は、顧客の家族以外の誰かが顧客口座からお金を引き出すことはまれであると認めたが、母親の旧姓は家族の外ではめったに知られておらず、口座開設者でも"しばしばこの質問の準備ができていない"。同様に、現代練習では、クレジットカード提供者は、紛失したカードの交換を発行する前に、顧客の母親の旧姓を要求することができる。
2000年代には、セキュリティに関する質問がインターネット上で広く利用されました。セルフサービスのパスワードリセットの一形態として、セキュリティに関する質問は情報技術のヘルプデスクのコストを削減しています。セキュリティに関する質問をオンラインで使用できるようにすることにより、キーストロークロギング攻撃に対して脆弱になる。さらに、人間の顧客サービス担当者は不正確なセキュリティの回答に適切に対処できるかもしれないが、コンピュータはあまり熟練していない。そのため、ユーザーは正確なスペルを覚えておかなければならず、時には回答の正確さも忘れてはいけません。これにより、より多くの回答が書かれ、物理的な盗難にさらされるという脅威がもたらされます。
ソーシャルメディアの普遍的な性質のために、古くからの伝統的なセキュリティ問題の多くは、もはや有用でも安全でもありません。セキュリティに関する質問は単なる別のパスワードであることを覚えておくことが重要です。したがって、秘密の質問を他の人と共有したり、ソーシャルメディアのウェブサイトですぐに入手できる情報を含めたりする必要はありません。すべての質問がすべての人に役立つわけではないことを理解すると、RSA(米国ネットワークセキュリティプロバイダ、EMC Corporationの一部門)は、銀行に150の質問を選択させる。
多くの人が、セキュリティに関する質問の有用性に疑問を呈しています。セキュリティ専門家Bruce Schneierは、人に関する公の事実であるため、パスワードよりもハッカーを推測する方が簡単だと指摘しています。これを知っているユーザーは、質問に対する偽の回答を作成し、回答を忘れてしまい、目的を破って投資に値する不都合を作り出します。