パスワード保護

情報セキュリティマネジメント試験ペッパー」の問題

情報セキュリティ対策・実装技術パスワード保護難易度:normal
ソルトとは別に、データベースと分離した場所で秘密に保持し全ハッシュへ共通適用する秘密値はどれか。
利用者ごとに異なる値を生成してハッシュに付加し、同じパスワードでも保存値が一致しないようにする値。
ハッシュの計算をあえて多数回繰り返すことで一回あたりの試行を遅くし、総当たり攻撃の効率を下げる処理。
暗号化された通信を行うために、その都度交換される一時的な共通鍵。
DBとは別の場所で秘密に保持し、全パスワードのハッシュへ共通に加える非公開の値。
正解
DBとは別の場所で秘密に保持し、全パスワードのハッシュへ共通に加える非公開の値。

ペッパーはアプリ設定やHSM等DBと別の場所に秘匿される共通の秘密値で、DBが漏えいしてもペッパー不明なら総当たりを著しく困難にできる。

?選択肢ごとの解説

ア ×利用者ごとに異なり一致を防ぐのはソルトで、DBと別に秘匿する共通値のペッパーとは保管場所も性質も異なる。
イ ×計算を多数回繰り返すのはストレッチングで、秘密値を加えるペッパーとは対策の軸が違う。
ウ ×通信用に交換する一時鍵は鍵交換の話で、保存パスワードの保護に使うペッパーとは無関係である。
エ ○ペッパーはアプリ設定やHSM等DBと別の場所に秘匿される共通の秘密値で、DBが漏えいしてもペッパー不明なら総当たりを著しく困難にできる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w3-0008

【情報セキュリティマネジメント試験】ペッパーの問題と解答・解説|ukamiru 過去問