HOME»基本情報技術者試験掲示板»平成21年秋期午後問4
投稿する

平成21年秋期午後問4 [3994]

 わっくんさん(No.1) 
初めて質問させていただきます。
設問2の(2)の解答に「チャレンジレスポンス方式では、端末に正規の利用者IDとパスワードを入力することで、認証が可能になりますが、盗聴されたレスポンスからハッシュ化前のパスワードを逆計算することは、ほぼ不可能※1ので、不正ログインはできないことになります。」とありますが、設問には「キーボード入力を読み取って,第三者に送信するプログラムが動作していた場合」とあるのでIDとパスワードの両方が盗聴したと読み取りました。なぜ、解答に"レスポンスの時点で盗聴された"と書いてあるのでしょうか?

https://www.fe-siken.com/kakomon/21_aki/pm04.html
2022.02.20 11:40
nsさん(No.2) 
FE シルバーマイスター
ご質問の内容がよくわからないのですが、
>なぜ、解答に"レスポンスの時点で盗聴された"と書いてあるのでしょうか?
これはどの部分の記載のことをおっしゃっているのでしょうか。

>盗聴されたレスポンスからハッシュ化前のパスワードを逆計算することは、ほぼ不可能
これは(1)の「通信経路上での盗聴」ではハッシュ化された値(=レスポンス)しか取得できないため、不正ログインされない、ということの解説です。

>キーボード入力を読み取って,第三者に送信するプログラムが動作していた場合
これは(2)のケースですよね?
このようなプログラムを使えば、正規の利用者と同じようにIDとパスワードを入力してログインできます。
2022.02.20 13:34
chihiroさん(No.3) 
FE プラチナマイスター
>なぜ、解答に"レスポンスの時点で盗聴された"と書いてあるのでしょうか?
"レスポンスの時点で盗聴された"という文言は問題文にも解説にもどこにも見当たらないのですが、どこを指して言っているのでしょうか?
>設問には「キーボード入力を読み取って,第三者に送信するプログラムが動作していた場合」とあるのでIDとパスワードの両方が盗聴したと読み取りました。
チャレンジレスポンス方式の場合、通信経路上にはパスワードは流れない(流れるのはパスワードをハッシュ化したレスポンス)のですが、最初に端末に入力するIDとパスワードは、キーボード入力から読み取られてしまいます。
2022.02.20 13:39
 わっくんさん(No.4) 
nsさん、chihiroさん

図1,2ともにクライアント側からサーバ側に向けて「利用者IDとパスワードp入力」と書いてあるため、その時点で盗聴されると思ったのですが、解答をよく読んだら「チャレンジレスポンス方式の場合、端末とサーバ間に流れる情報は、利用者IDおよびサーバから送信されたチャレンジと利用者が入力したパスワードから計算されたハッシュ値(レスポンス)の二つです。」という前提知識が必要な問題なんですね。入力した時点ではパスワードはサーバに流れないという発想がなかったので勉強になりました。
ありがとうございました。
2022.02.21 18:54
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2010- 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop