問題本文
パスワードを用いて利用者を認証する方法のうち,適切なものはどれか。
選択肢
- ア.パスワードに対応する利用者 ID のハッシュ値を登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
- イ.パスワードに対応する利用者 ID のハッシュ値を登録しておき,認証時に入力された利用者 ID をハッシュ関数で変換して比較する。
- ウ.パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
- エ.パスワードをハッシュ値に変換して登録しておき,認証時に入力された利用者 ID をハッシュ関数で変換して比較する。
正解
ウ. パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
解説
DB漏えい時の平文パスワード流出を防ぐため、サーバ側にはパスワードのハッシュ値だけを保存し、認証時は入力パスワードを同じハッシュ関数で変換して比較するのが標準的です。
選択肢ごとの解説
- ア.登録対象が「利用者IDのハッシュ」では、パスワード照合になりません。
- イ.ID同士の比較になり、パスワード認証として成立しません。
- ウ.保存はパスワードのハッシュ、比較も入力パスワードのハッシュ同士という、安全なパスワード認証の標準形です。
- エ.登録がパスワードハッシュ、入力側が利用者IDというちぐはぐな比較で認証になりません。
基本情報技術者試験 平成26年度 春期 午前 の過去問一覧へ戻る・問42