基本情報技術者試験 ap-2025r07h-a 午前 問44: パスワードクラックの対策のうち，ストレッチングに該当するものはどれか。

問題本文

パスワードクラックの対策のうち，ストレッチングに該当するものはどれか。

選択肢

• ア.あらかじめ利用者だけが知っている質問と答えをシステムに登録しておき，普段と異なるログイン方法の場合に追加で質問を行う。
• イ.一定時間内にパスワードを一定回数誤ったとき，それ以降のログインを試行できないようにする。
• ウ.パスワードの照合のためのハッシュ値を，パスワードに対してハッシュ化を繰り返して，求める。
• エ.パスワードの照合のためのハッシュ値を，パスワードに利用者 ID ごとに異なる文字列を付加してからハッシュ化して，求める。

正解

ウ. パスワードの照合のためのハッシュ値を，パスワードに対してハッシュ化を繰り返して，求める。

解説

パスワードを保護する各手法の名称と内容の対応を問う問題。ストレッチング(stretching)とは，パスワードのハッシュ化を 1 回で終えず数千〜数万回繰り返してハッシュ値を求める手法で，1 件あたりの計算コストを意図的に増やしてオフラインの総当たり攻撃を遅くする。よってハッシュ化を繰り返すと述べたウが正解。

選択肢ごとの解説

• ア.あらかじめ登録した秘密の質問で追加認証を行うのはリスクベース認証(知識認証の追加)であり，ストレッチングではないので誤り。
• イ.一定回数の失敗でログインを禁止するのはアカウントロック(ロックアウト)であり，オンライン攻撃を抑止する別の対策なので誤り。
• ウ.正しい。パスワードに対しハッシュ化を繰り返してハッシュ値を求めるのがストレッチングで，攻撃側の試行 1 回あたりの計算量を増やして解析を困難にする。
• エ.利用者ごとに異なる文字列(ソルト)を付加してからハッシュ化するのはソルト付与であり，同一パスワードでも異なるハッシュ値にしてレインボーテーブル攻撃を防ぐ別の対策なので誤り。