情報セキュリティ

基本情報技術者試験ワンタイムパスワード」の問題

情報セキュリティ情報セキュリティ難易度:normal
B社はスマートフォンのアプリが30秒ごとに更新する6桁の数値を表示し、その値で追加認証する時刻同期方式のワンタイムパスワードを導入した。導入後、一部の利用者で正しい値を入力しても認証に失敗する事象が散発している。原因として最も考えられるものはどれか。
アプリの値をコピー機能ではなく手で打ち込む利用者がいることが、失敗を生んでいる。
同一の値が30秒間表示され続け、その有効時間内に二度三度ログインを試みたためである。
端末側の時計とサーバ側の基準時刻が食い違い、双方が算出する値が噛み合わなくなっている。
6桁では取り得る値の幅が狭く、たまたま別の利用者の表示値と衝突しているためである。
正解
端末側の時計とサーバ側の基準時刻が食い違い、双方が算出する値が噛み合わなくなっている。

時刻同期(タイムベース)方式のワンタイムパスワードは、端末とサーバが共有する秘密と現在時刻から同じ値を独立に算出して照合する。端末の時計がずれると算出される時間帯が食い違い、利用者が正しく読み取って入力しても値が一致せず認証に失敗する。時刻のずれが散発的失敗の典型原因である。

?選択肢ごとの解説

ア ×手入力かコピーかは入力経路の違いに過ぎず、正しい値を正確に入力できていれば認証は成立するため、失敗の原因にならない。
イ ×同じ値が有効な30秒の間であれば、その値での認証は本来成立し得るため、複数回ログイン自体が失敗を引き起こす説明にはならない。
ウ ○時刻同期(タイムベース)方式のワンタイムパスワードは、端末とサーバが共有する秘密と現在時刻から同じ値を独立に算出して照合する。端末の時計がずれると算出される時間帯が食い違い、利用者が正しく読み取って入力しても値が一致せず認証に失敗する。時刻のずれが散発的失敗の典型原因である。
エ ×6桁は十分な組合せがあり、他人の値と偶然一致する確率は極めて低く、散発的な失敗を説明する主因とはならない。

くわしく

ワンタイムパスワードには時刻同期方式とチャレンジレスポンス方式があり、前者は『時刻』を共通の種にするため時計のずれに弱い。サーバ側は一定の許容ずれ幅(時刻窓)を持つが、それを超える端末側の時計狂いは認証失敗を招く。NTP等での時刻同期維持が運用の鍵である。

本番での押さえどころ

試験のコツ

時刻同期方式OTPで『正しい値なのに失敗』なら、まず端末・サーバ間の時刻ずれを疑うのが定石。

覚え方

時刻同期OTPは『時計合わせが命』。時計が狂えば合言葉も食い違う。

よくある誤り

入力方法や桁数といった表面的要素に原因を求めがちだが、時刻同期方式の本質は『時刻一致』であり、ずれが最有力原因である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0062

【基本情報技術者試験】ワンタイムパスワードの問題 — 解答・解説|ukamiru 過去問