平成21年秋期午後問4

みかんさん  
(No.1)
https://www.fe-siken.com/kakomon/21_aki/pm04.html

設問2の「e」で質問があります。

解説の(2)で、「不正サーバが受信するのは、利用者ID及びレスポンスです。レスポンスからハッシュ化前のパスワードを推測することはほぼ不可能※1なので、不正サーバが受信した情報を用いても不正ログインはできないことになります。」と書かれてありました。

ハッシュ化前のパスワードを推測することがほぼ不可能なのは知っています。ハッシュ値を不正に受け取って、そのまま送ることは不可能なんでしょうか?送信元でハッシュ値が変わってしまうということなんでしょうか?

どなたかよろしくお願いします。
2021.11.08 17:19
管理人 
(No.2)
(3)は、不正なサーバに接続してログイン情報を送信したケースです。なので、不正なサーバが受け取ったレスポンスは、正規のサーバから送信されたチャレンジに基づいて生成されたものではありません。よって、それを正規のサーバに送っても不正ログインをすることはできませんね。

中間者攻撃のように正規のサーバと利用者との間に割り込んでレスポンスを窃取しているのなら、1回は不正ログインが成功しそうな感じです。
2021.11.08 17:53
みかんさん  
(No.3)
「不正なサーバが受け取ったレスポンスは、正規のサーバから送信されたチャレンジに基づいて生成されたものではありません。」という部分を考えられていませんでした。

すっきりしました!ありがとうございました。
2021.11.08 21:28

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop