基本情報技術者試験 基本情報技術者試験 平成28年度 春期 午前 午前 問40: Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。

基本情報技術者試験 平成28年度 春期 午前
Q 4040 / 80
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
この問の正解率:53.88%(1,069件)

解説

基本情報技術者試験 平成28年度 春期 午前 問40「Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合…」の正解と解説です。基本情報技術者試験の「認証」分野の過去問で、これまでの受験者の正答率は約54%です。

正解

. あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページへアクセスするための,推測困難なURLを送信する。

正答率 53.9%(1,069人中 576人が正解)

問題の解説

登録済みアドレスへ、ワンタイムの推測困難URLを送る方式が、本人確認+リプレイ攻撃防止の観点で最も安全です。現パスワード送信や任意アドレス受付はNG。

選択肢ごとの解説

  • 平文で現パスワードを送るのはNG(漏えいリスク・再利用問題)。
  • 登録済アドレス+ワンタイムURLが標準的なセキュアパターン。
  • 任意アドレス入力ではなりすまし可能でかつ平文送信は危険。
  • 任意アドレス入力は本人確認にならず、攻撃者にURLを渡してしまう恐れがあります。

基本情報技術者試験 平成28年度 春期 午前 の過去問一覧に戻る・問40

基本情報技術者試験 の iOS アプリ版

アプリ版なら、よりスムーズに動作し、
スワイプで問題遷移ができます。

基本情報技術者試験 合格.dev を App Store でダウンロード