アカウントリカバリーオプションは安全か?

-
 0

オンライン上のセキュリティに懸念を示しているユーザーは、いくつものセキュリティ層でアカウントを保護したいと考える。すぐ物忘れしてしまう人は、異なるアカウントにおけるパスワードをつい忘れてしまうこともよくあるだろう。それぞれのアカウントで異なる複雑なコードを作成しようとしている場合は特に問題となる。認証情報を忘れるという問題に直面したら、アカウントリカバリーに使われている比較的古いトリックに目を向けることがある。ほとんど全てのオンラインサービスがアカウントリカバリー復のオプションを提供するが、それらは本当に安全なのか? 専門家はこのプロセスの欠陥を検出し、アカウントリカバリーの方法には切実に改善が必要だという事実を強調しているす。それぞれのオプションについて見ていくとする。

セキュリティ質問

数年前はセキュリティ質問でアカウントを保護するのが大きな動向だった。人は飼い犬の名前、故郷の名前、家族の名前など他にも特定の個々人のみが知っているとされる情報を使う。ファシリティによってはユーザーの生活に関する詳細について既に作られた質問を提供するものもあれば、独自の質問を作成できるものもある。それにもかかわらず、このオプションは安全でなく、簡易的で単純なものであることが判明。これらの質問は複雑で正確に答えるのは難しいと考えられていたが、このような情報は人との意思疎通中にいとも簡単に交換されているということに気づいていなかったのかもしれない。

誰かと仲よくなり始めると、初めて飼ったペットの名前や将来の夢などを語ったりすることもある。多くの人がオンラインで出合うことを考えると、疑わしい当事者にもそのような情報が自由に提供される可能性があるのだ。別のケースでは、FacebookTwitterなど基本的に全てのソーシャルネットワークサイトにおいて入手できる情報もる。多くの場合、投稿されたマテリアルや個人情報は一般に公開されるよう設定されている。つまり誰でも個人のアカウントをチェックすることができるのだ。アカウントを保護するためセキュリティ質問を設定する以外の選択肢がない場合、独特な質問およびより独創的な回答を考え出す必要がる。オンラインで入手できる個人情報は使用を避けるのが賢明だ。

セキュリティコード

例えばGmailの忠誠な顧客なら、アカウントリカバリーのために電話番号を設定することが可能であることに気づいているだろう。パスワードを忘れたりアカウントにアクセスできない場合、Gmailから指定された電話番号に確認コードを送信することができる。一見するとこのオプションはかなり安全なようだ。パスワードを失っても、ファシリティに連絡して新しい認証コードを要求できる。それに加え、情報はアカウントを保護するために他の方法で利用することもできる。

例えば、別のデバイスから誰かがあなたのアカウントにログインするたびにメッセージを受け取るよう設定することができる。パスワードが変更されたときに通知を受け取ることもできる。かなり全うに見えるのではないだろうか? しかし実際にはこのオプションにもいくつかの欠陥がある。新しいSIMカードに昔の番号を割り当てようとすると、これを実行するのは難しくはないという事実に気づく。驚いたことに、電話やオンラインで電話会社に連絡をするだけで十分なこともある。本人であることを信用するため、電話会社はおそらくいくつかの情報を開示するよう要求するだろうが、ハッカーが本気でアカウントに入り込みたいと思えば、彼らは確実にそれを掘り出す方法を見つけるのである。

Eメールアドレス

アカウントリカバリーにEメールを追加するのは、電話番号の設定によく似ている。古いパスワードを忘れた場合、新しいパスワードを作成するのに役立つ。その上、ファシリティはアカウント上で起きている奇妙な行動についても通知することができる。ここでもうお気づきかもしれないが、全てのアカウント回復オプションには何らかの欠陥がある。アカウントリカバリーのための他のEメールアドレスを提供する場合、そのアドレスがハッキングされていないことを確認する必要がある。ハッカーがあなたのEメールアドレスを認識し、それをバックアップとして設定していると知れば、彼らはその情報を利用しようとするかもしれない。

Delegated Recovery

131日より、GitHubは新しくDelegated Recoveryの使用を開始した。つまりGitHubにおいて追加の認証情報を提供するためにFacebookアカウントを使うことができる。この革新的な方法を利用するには、事前にFacebookアカウントでリカバリートークンを登録する必要がある。トークンは暗号化され、FacebookおよびGitHub両方の個人情報はプライベートのまま保たれる。このオプションは安全をより確実にするためHTTPS 暗号化によって監視される。先に挙げたアカウントリカバリー方法との違いは何か? それはDdelegated Recovery2つのサイト間でリカバリートークンが交換されたときに、両者が同一人物であることが確認されるのである。他のファシリティもこのオプションを追加するよう促すため、そのためのプロトコルがこちらで提供されている。

出典: thetechportal.com.

 
 
 
 
 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です