基本情報技術者試験「ワンタイムパスワード」の問題
B社はスマートフォンのアプリが30秒ごとに更新する6桁の数値を表示し、その値で追加認証する時刻同期方式のワンタイムパスワードを導入した。導入後、一部の利用者で正しい値を入力しても認証に失敗する事象が散発している。原因として最も考えられるものはどれか。
アアプリの値をコピー機能ではなく手で打ち込む利用者がいることが、失敗を生んでいる。
イ同一の値が30秒間表示され続け、その有効時間内に二度三度ログインを試みたためである。
ウ端末側の時計とサーバ側の基準時刻が食い違い、双方が算出する値が噛み合わなくなっている。
エ6桁では取り得る値の幅が狭く、たまたま別の利用者の表示値と衝突しているためである。
正解
ウ.端末側の時計とサーバ側の基準時刻が食い違い、双方が算出する値が噛み合わなくなっている。
時刻同期(タイムベース)方式のワンタイムパスワードは、端末とサーバが共有する秘密と現在時刻から同じ値を独立に算出して照合する。端末の時計がずれると算出される時間帯が食い違い、利用者が正しく読み取って入力しても値が一致せず認証に失敗する。時刻のずれが散発的失敗の典型原因である。
?選択肢ごとの解説
ア ×手入力かコピーかは入力経路の違いに過ぎず、正しい値を正確に入力できていれば認証は成立するため、失敗の原因にならない。
イ ×同じ値が有効な30秒の間であれば、その値での認証は本来成立し得るため、複数回ログイン自体が失敗を引き起こす説明にはならない。
ウ ○時刻同期(タイムベース)方式のワンタイムパスワードは、端末とサーバが共有する秘密と現在時刻から同じ値を独立に算出して照合する。端末の時計がずれると算出される時間帯が食い違い、利用者が正しく読み取って入力しても値が一致せず認証に失敗する。時刻のずれが散発的失敗の典型原因である。
エ ×6桁は十分な組合せがあり、他人の値と偶然一致する確率は極めて低く、散発的な失敗を説明する主因とはならない。
✎くわしく
ワンタイムパスワードには時刻同期方式とチャレンジレスポンス方式があり、前者は『時刻』を共通の種にするため時計のずれに弱い。サーバ側は一定の許容ずれ幅(時刻窓)を持つが、それを超える端末側の時計狂いは認証失敗を招く。NTP等での時刻同期維持が運用の鍵である。
✓本番での押さえどころ
試験のコツ
時刻同期方式OTPで『正しい値なのに失敗』なら、まず端末・サーバ間の時刻ずれを疑うのが定石。
覚え方
時刻同期OTPは『時計合わせが命』。時計が狂えば合言葉も食い違う。
よくある誤り
入力方法や桁数といった表面的要素に原因を求めがちだが、時刻同期方式の本質は『時刻一致』であり、ずれが最有力原因である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0062