秘密の質問をやめていただきたい

秘密の質問をやめていただきたい。
https://securityblog.jp/news/20150708.html

コメント

5件のコメント

  • トラスト・ログインチーム

    リクエストの登録ありがとうございます。

    弊社も秘密の質問を廃止したいと考えておりますが、良い代替案が見つかっておりません。

    パスワードリセット時の本人確認方法について、良案をお持ちでしたらご教示いただければと思います。

    なお、お知らせいただいたリンク先の「「秘密の質問」による本人確認のセキュリティレベルを高めるために、以下のような対策を検討するよう求めている。」については、全て対応しておりますのでご安心ください。

    どうぞよろしくお願いいたします。

    0
  • 管理者

    代替案ではなく、秘密の質問と回答の機能を取り除いていただくだけではだめなのでしょうか。

    0
  • トラスト・ログインチーム

    コメントありがとうございます。

    メールは平文でのデータ送信で盗聴が容易であるため、メールの受信確認のみでは本人確認としては不十分と考えております。

    いただいたURLでもワンタイムパスワードや二段階認証といった本人確認方法への変更を呼びかけているとのことです。

    どうぞよろしくお願いいたします。

    0
  • 管理者

    > メールは平文でのデータ送信で盗聴が容易であるため

    現状でもメールでURLが送られてくるので、盗聴と秘密の質問との関連はないように思うのですが。

     

    > いただいたURLでもワンタイムパスワードや二段階認証といった本人確認方法への変更を呼びかけているとのことです。

    それでご検討いただけますと幸いです。

    0
  • トラスト・ログインチーム

    コメントありがとうございます。

    > 現状でもメールでURLが送られてくるので、盗聴と秘密の質問との関連はないように思うのですが。

    メールで送信するURLとメールでは送信しない秘密の答えの両方がないとパスワードの変更ができない形になっております。

     

    > それでご検討いただけますと幸いです。

    SKUIDではワンタイムパスワードを有償オプションとしているため、全ユーザーを対象とするパスワードリセットの条件にはできない事情があります。ご了承ください。

     

    引き続き代替案を検討いたします。お気付きのことがございましたお知らせいただければと存じます。

    どうぞよろしくお願いいたします。

    0