HOME»基本情報技術者試験掲示板»平成21年秋期午後問4 dについて
投稿する
[4211] 平成21年秋期午後問4 dについて
受験太郎さん(No.1)
https://www.fe-siken.com/kakomon/21_aki/pm04.html
設問2の d について回答では方式1,2と書いてありますが、
チャレンジが利用者IDごとに固定されてると書いてないので利用者IDを送信するごとにチャレンジが変わると解釈して方式1のみ にしたのですが、チャレンジレスポンスそのものが利用者IDごとにチャレンジが固定されているものなのでしょうか?
設問2の d について回答では方式1,2と書いてありますが、
チャレンジが利用者IDごとに固定されてると書いてないので利用者IDを送信するごとにチャレンジが変わると解釈して方式1のみ にしたのですが、チャレンジレスポンスそのものが利用者IDごとにチャレンジが固定されているものなのでしょうか?
2022.05.04 15:05
y4 kさん(No.2)
チャレンジレスポンス方式では、解説にもある通りパスワードそのものは回線上へ流れません。
しかし、設問2の(2)では、以下の記述もあります。
つまり、この仕組みによってパスワードを不正取得されてしまいます。
そして、攻撃者が改めて自身の機器でログインを試みれば、サーバから攻撃者の機器へチャレンジが送られ、それと不正取得したパスワードを用いてレスポンスが返されるのでログインが可能になるのです。
しかし、設問2の(2)では、以下の記述もあります。
>利用する端末上で,キーボード入力を読み取って,第三者に送信するプログラムが動作していた
つまり、この仕組みによってパスワードを不正取得されてしまいます。
そして、攻撃者が改めて自身の機器でログインを試みれば、サーバから攻撃者の機器へチャレンジが送られ、それと不正取得したパスワードを用いてレスポンスが返されるのでログインが可能になるのです。
2022.05.04 18:35
受験太郎さん(No.3)
回答ありがとうございます。
理解できました!!
理解できました!!
2022.05.05 14:02