HOME»基本情報技術者試験掲示板»平成21年秋期午後問4 【設問2】空欄「e」の解説
投稿する

平成21年秋期午後問4 【設問2】空欄「e」の解説 [2987]

 落ち込み中さん(No.1) 
https://www.fe-siken.com/kakomon/21_aki/pm04.html

大変お世話になっております。
質問させて下さい。

【設問2】の空欄「e」、答えが「ア」であるのは理解できます。

しかしながら、解説文を読んでいて理解できない箇所がありました。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
方式2
不正サーバが受信するのは、利用者ID及びレスポンスです。
レスポンスからハッシュ化前のパスワードを推測することは
ほぼ不可能※1なので、不正サーバが受信した情報を用いても
不正ログインはできないことになります。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

の説明において、

「不正サーバが受信するのは、利用者ID及びレスポンスです。」

不正サーバは、レスポンスを受信できるのですか??
レスポンスというのは、利用者側の端末で「チャレンジc」を
受け取ってから生成されるものかと思ってしまいます。

確かに、不正サーバがチャレンジを送信する仕様になっていれば、
利用者の端末もレスポンスを返すとは思いますが・・・
そういう前提で考えた方が良いのでしょうか??

うまく文章に起こせなくてはがゆいのですが、
自分のイメージとしては、「方式2」では

「不正サーバは利用者のIDしか受信できない。
  パスワードを知り得ないので不正ログインには至らない。」

という解釈になりました。
なにとぞ、ご教授ください。

宜しくお願い致します。
2021.03.01 23:54
detecさん(No.2) 
設問の「誤って不正なサーバに接続して通常のログイン操作を行った場合」という前提は「正規サイトを模したフィッシングサイト」であると思います。
チャレンジ自体は、接続者のパスワードに基づかない単なる疑似乱数であり、CHAP認証は規格モノなので、チャレンジを送信すること自体は可能だと思います。
その後、接続者は受け取ったチャレンジとパスワードのハッシュ値からレスポンスを生成し、不正サーバに送信しますが、サーバは本来のパスワードを知らないので、レスポンスが正しいか判断できません。
受け取るのはハッシュ値ですから(レインボー攻撃を除き)元の値も知ることはできません。
2021.03.02 08:17
 落ち込み中さん(No.3) 
detecさん(No.2) 

レスありがとうございます。

…なるほど、

>>設問の「誤って不正なサーバに接続して通常のログイン操作を行った場合」という前提は「正規サイトを模したフィッシングサイト」であると思います。

ここまで予測する必要がある訳ですね…。

問題文の読み方、難しいですね…笑
深読みしすぎてもダメだし、字面だけ読んでもダメだし…汗
注意して頑張ります!
2021.03.02 09:37
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2010- 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop