パスワード非送信認証
情報セキュリティマネジメント試験「チャレンジレスポンス認証」の問題
毎回変わる乱数を相手に提示し、その応答計算結果で本人確認することでパスワードを流さない方式はどれか。
ア利用者の入力したパスワードをそのまま送信し、保管された値と一致するか毎回照合する方式。
イ毎回異なる乱数を提示し、秘密とその乱数から計算した応答を照合して認証する方式。
ウ端末の所在地を地図上に表示し、登録地域からの接続かどうかを確かめる方式。
エ通信全体を暗号化し、経路上で盗聴されても内容を読めなくするための方式。
正解
イ.毎回異なる乱数を提示し、秘密とその乱数から計算した応答を照合して認証する方式。
チャレンジレスポンス認証はサーバが乱数(チャレンジ)を送り、利用者は秘密情報とその乱数から応答を計算して返すため、秘密そのものは流れず盗聴による再利用も防げる。
?選択肢ごとの解説
ア ×パスワードをそのまま送る方式は盗聴で漏えいする恐れがあり、秘密を流さないチャレンジレスポンスとは逆である。
イ ○チャレンジレスポンス認証はサーバが乱数(チャレンジ)を送り、利用者は秘密情報とその乱数から応答を計算して返すため、秘密そのものは流れず盗聴による再利用も防げる。
ウ ×所在地で接続を確かめるのは位置情報による判定で、乱数応答で本人を確認する方式とは仕組みが異なる。
エ ×通信全体の暗号化は内容の秘匿が目的で、応答計算で本人を確かめる認証方式とは目的が異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0006
