情報処理安全確保支援士令和元年秋期 午前T 問13

午前T 問13

チャレンジレスポンス認証方式の特徴はどれか。

  • 固定パスワードをTLSによって暗号化し,クライアントからサーバに送信する。
  • 端末のシリアル番号を,クライアントで秘密鍵を使って暗号化してサーバに送信する。
  • トークンという装置が自動的に表示する,認証のたびに異なるデータをパスワードとして送信する。
  • 利用者が入力したパスワードと,サーバから受け取ったランダムなデータとをクライアントで演算し,その結果をサーバに送信する。
  • [この問題の出題歴]
  • 応用情報技術者
    令和元年秋期 問38と同題

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

チャレンジレスポンス方式は、通信経路上に固定パスワードを流さないようにすることで、盗聴によるパスワードの漏えいやリプレイアタックを防止する認証方式です。

チャレンジレスポンス方式では以下の手順で認証を行います。
  • サーバは、クライアントから要求があるたびに異なる乱数値(チャレンジ)を生成して保持するとともに、クライアントへ送る。
  • クライアントは、利用者が入力したパスワードと(1)でサーバから送られた"チャレンジ"から所定の方法でレスポンスを計算する。
  • クライアントは、(2)で生成した"レスポンス"と利用者が入力した利用者IDをサーバに送る。
  • サーバは、クライアントから受け取った利用者IDで利用者情報を検索して、取り出したパスワードと(1)で保持していた"チャレンジ"を用いてクライアントと同じ手順でレスポンスを生成する(レスポンス照合データ)。
  • サーバは、"レスポンス照合データ"とクライアントから受け取った"レスポンス"を比較し、両者が一致すれば認証成功とする。
am1/38.gif/image-size:448×378
  • チャレンジレスポンス方式では、固定パスワードとサーバから送信された乱数(チャレンジ)を組み合わせたものをハッシュ化又は暗号化してサーバに返信します。
  • 端末のシリアル番号は送信しません。端末ごとに固有の番号を使用するといつも同じ認証データが使われることになるので、リプレイアタックを受ける可能性があります。
  • 時刻同期式ワンタイムパスワードの説明です。チャレンジレスポンス方式ではトークンは不要です。
  • 正しい。チャレンジレスポンス認証方式の特徴です。
data-full-width-responsive="true">
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop