基本情報技術者試験 基本情報技術者試験 平成28年度 春期 午前 午前 問40: Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。

基本情報技術者試験 平成28年度 春期 午前
Q 4040 / 80
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
この問の正解率:53.88%(1,069件)
この問題の本文・選択肢・正解・解説(展開)

問題本文

Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。

選択肢

  • .あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
  • .あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページへアクセスするための,推測困難なURLを送信する。
  • .新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
  • .新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページへアクセスするための,推測困難なURLを送信する。

正解

. あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページへアクセスするための,推測困難なURLを送信する。

解説

登録済みアドレスへ、ワンタイムの推測困難URLを送る方式が、本人確認+リプレイ攻撃防止の観点で最も安全です。現パスワード送信や任意アドレス受付はNG。

選択肢ごとの解説

  • .平文で現パスワードを送るのはNG(漏えいリスク・再利用問題)。
  • .登録済アドレス+ワンタイムURLが標準的なセキュアパターン。
  • .任意アドレス入力ではなりすまし可能でかつ平文送信は危険。
  • .任意アドレス入力は本人確認にならず、攻撃者にURLを渡してしまう恐れがあります。

基本情報技術者試験 平成28年度 春期 午前過去問一覧へ戻る・問40