基本情報技術者試験「ワンタイムパスワード」の問題
C社は、サーバが毎回異なる文字列(チャレンジ)を提示し、利用者の機器がそれと秘密情報から応答(レスポンス)を計算して返すチャレンジレスポンス方式の認証を採用している。この方式が、固定パスワードを毎回そのまま送る方式に比べて優れている点として最も適切なものはどれか。
ア経路上の応答を傍受されても、次回はチャレンジが変わり同じ応答を送り直しても通らない。
イ検証用の秘密情報をサーバへ置かずに済み、サーバが侵害されても漏えいが起こらない。
ウ利用者が覚えるべき秘密が一切不要となり、記憶に頼る部分が方式から完全に消える。
エやり取りするデータ量が固定パスワード方式より減り、低速回線でも速く認証できる。
正解
ア.経路上の応答を傍受されても、次回はチャレンジが変わり同じ応答を送り直しても通らない。
チャレンジレスポンス方式はサーバが毎回異なるチャレンジを出し、それと秘密情報から応答を計算するため、通信路を流れる応答は毎回変わる。盗聴した応答を後で再送(リプレイ)しても次回のチャレンジが異なるので通用せず、固定パスワードの盗聴・再利用という弱点を克服できる。これが本質的な利点である。
?選択肢ごとの解説
ア ○チャレンジレスポンス方式はサーバが毎回異なるチャレンジを出し、それと秘密情報から応答を計算するため、通信路を流れる応答は毎回変わる。盗聴した応答を後で再送(リプレイ)しても次回のチャレンジが異なるので通用せず、固定パスワードの盗聴・再利用という弱点を克服できる。これが本質的な利点である。
イ ×応答の正否を検証するため、サーバ側も同じ秘密情報(または検証用情報)を保持する必要があり、『秘密を一切持たない』は誤りである。
ウ ×秘密情報は機器内や利用者が保持する必要があり、記憶負担が完全になくなるわけではないため、利点の説明として不正確である。
エ ×チャレンジとレスポンスを往復させるため通信は固定パスワードより複雑化し得る。通信量削減はこの方式の本来の目的・利点ではない。
✎くわしく
固定パスワードは盗聴・再利用に弱い。チャレンジレスポンスは『毎回異なる入力から応答を生成する』ことでリプレイ耐性を得る。同じくワンタイム性を持つ時刻同期方式が時刻を種にするのに対し、こちらはサーバ提示の乱数を種にする違いがある。
✓本番での押さえどころ
試験のコツ
チャレンジレスポンスの利点を問われたら『盗聴された応答が再利用できない(リプレイ耐性)』を選ぶ。
覚え方
毎回違う合言葉を出題するので、答えを盗み聞きしても次は別問題。録音再生が効かない。
よくある誤り
『サーバに秘密を持たない』『記憶不要』など聞こえの良い説明を選びがちだが、本方式の核心はリプレイ攻撃への耐性である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0063