セキュリティ

基本情報技術者試験認証技術」の問題

テクノロジ系セキュリティ難易度:normal
チャレンジレスポンス認証が、パスワードを毎回そのまま送る方式に比べて優れている点はどれか。
認証のたびに利用者自身が毎回異なるパスワードを記憶し直す必要が生じる
通信路にパスワードそのものを流さず盗聴による再利用を防げる
サーバ側にパスワードを保存する必要が一切なくなる
パスワードを暗号化せず平文で送っても安全性が確保される
正解
通信路にパスワードそのものを流さず盗聴による再利用を防げる

チャレンジレスポンス認証では、サーバが毎回異なる乱数(チャレンジ)を送り、利用者はパスワードと乱数からハッシュ値などの応答(レスポンス)を計算して返す。パスワード自体は流れず、応答は毎回変わるため盗聴して再送する攻撃も防げるため正しい。

?選択肢ごとの解説

ア ×利用者が毎回違うパスワードを覚え直す必要はない。記憶するパスワードは同じで、変化するのはサーバが送る乱数の方である。
イ ○チャレンジレスポンス認証では、サーバが毎回異なる乱数(チャレンジ)を送り、利用者はパスワードと乱数からハッシュ値などの応答(レスポンス)を計算して返す。パスワード自体は流れず、応答は毎回変わるため盗聴して再送する攻撃も防げるため正しい。
ウ ×サーバ側は応答を検証するためにパスワードまたはその検証用情報を保持する必要があり、保存が一切不要になるわけではない。
エ ×平文で送っても安全になるのではなく、そもそもパスワードを送らない仕組みにすることで安全性を確保している点が要点である。

くわしく

パスワードを毎回そのまま送ると盗聴で漏えいし再利用される。チャレンジレスポンスは毎回異なる乱数を混ぜて応答を作るため、盗聴した応答は次回には通用しないリプレイ耐性を持つ。ワンタイムパスワードや多要素認証と組み合わせるとさらに強固になる。

本番での押さえどころ

試験のコツ

チャレンジレスポンスの肝は『乱数で毎回応答が変わる→盗聴の再利用を防ぐ』。リプレイ攻撃対策と結びつけて覚える。

覚え方

チャレンジ=お題、レスポンス=答え。毎回違うお題なので、過去の答えを盗んでも次は通用しない、とイメージする。

よくある誤り

パスワードを暗号化して送る方式と混同する誤りが多い。チャレンジレスポンスは『パスワードを送らず、毎回変わる応答を送る』点が本質である。

セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-a3-0286

【基本情報技術者試験】認証技術の問題 — 解答・解説|ukamiru 過去問