問題本文
次の認証方式の特徴に関する記述として,適切なものはどれか。 ・利用者にはあらかじめ乱数表が渡されている。 ・乱数表に印刷された数字は利用者ごとに異なる。 ・システムが要求する乱数表の座標位置に記載された数字をパスワードとして入力する。(座標位置は毎回異なる。) ・正しいパスワードの入力が確認できた場合に認証が成功する。 [乱数表の例(5×5)とB1,C2,D3,E4の場合パスワードは24644131となる例]
選択肢
- ア.システムが要求する乱数表の座標位置が同じでも,パスワードは毎回異なる。
- イ.知識による認証の一種である。
- ウ.盗聴したパスワード利用による,なりすましの防止に有効である。
- エ.乱数表を他人に渡しても安全である。
正解
ウ. 盗聴したパスワード利用による,なりすましの防止に有効である。
解説
本問の認証方式は,利用者ごとに異なる乱数表を渡し,システムがその場で要求する座標位置の数字を入力させる「マトリクス認証」と呼ばれる方式で,事実上のワンタイムパスワードに近い性質を持つ. 入力されるパスワード文字列は毎回異なる(座標位置が変わる)ため,通信路で盗聴されたパスワード文字列を使った再生攻撃やなりすましに強い. 知識(座標)+所有物(乱数表)の二要素的な性格があり,知識認証の一種とは言い切れない. 乱数表は他人に渡すと突破されるため安全ではない. 「使い捨てパスワードに近い性質→盗聴対策」が本質.
選択肢ごとの解説
- ア.誤り. 乱数表は利用者ごとに異なるが,座標位置が同じであればパスワード文字列は同じ数字になる. 「座標位置が同じならパスワードは毎回異なる」は乱数表の性質と矛盾する説明. 本方式の特徴は座標位置が毎回変わることであって,同じ座標で結果が毎回変わるわけではないため,記述として不正確.
- イ.誤り. この認証方式は乱数表という「所有物」と,座標位置に対応する数字を知っているという要素を組み合わせており,純粋な「知識による認証」とは言い切れない. 厳密にはマトリクス認証は所有物的要素を持つ二要素的な性格で,本問の選択肢としては適切な分類とは言えない.
- ウ.正解. 入力されるパスワード文字列は座標位置の組合せが毎回変わるため毎回異なり,通信路で盗聴された過去のパスワード文字列を再利用した「なりすまし」攻撃を防ぐのに有効. ワンタイムパスワードに近い性質を持つマトリクス認証の核心的なメリットであり,盗聴対策として広く採用される.
- エ.誤り. 乱数表自体を他人に渡してしまうと,その他人はシステムから指示された座標の数字を読み取って正規利用者になりすませる. 乱数表は本人のみが所有することがセキュリティの前提であり,他人に渡しても安全とは言えない. 「所有物の本人占有」が機能する前提を崩す行為となる.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問51