問題本文
次のような認証方式の特徴に関する記述として,適切なものはどれか。 ・利用者は認証用のマトリクス表における位置,順序情報だけを記憶する。 ・マトリクス表には認証の都度ランダムに数字が割り当てられる。 ・利用者は記憶した位置に表示されている数値を順にパスワードとして入力する。 ・正しい位置に表示されている数値の入力が確認できた場合に認証が成功する。
選択肢
- ア.位置,順序情報は定期的に変更しなくてもよい。
- イ.位置,順序情報は人に教えても安全である。
- ウ.盗聴されたパスワード利用によるなりすましの防止に有効である。
- エ.バイオメトリクス認証の一種である。
正解
ウ. 盗聴されたパスワード利用によるなりすましの防止に有効である。
解説
認証の都度,マトリクス表の数字がランダムに変わるため,ある回の認証で入力された数値列を盗聴しても,次回は同じ数値が別の位置に表示されるため,盗聴した数値列を再利用しても認証できない。これはワンタイムパスワードと同様の「再利用攻撃」への耐性を持ち,なりすまし防止に有効。正解はウ。
選択肢ごとの解説
- ア.位置・順序情報が漏えいした場合,攻撃者は次にランダムなマトリクス表が提示されても,その中から正しい位置の数値を読み取って入力できてしまう。漏えいした位置情報は認証を突破するための鍵となるため,定期的な変更・再設定が必要。
- イ.位置・順序情報は利用者だけが知るべき秘密情報である。他人に教えると,その人がランダムなマトリクス表から正しい数値を選択してなりすましができてしまう。パスワード同様,他者への開示は認証の崩壊につながる。
- ウ.毎回異なる数値がランダムに配置されるため,盗聴した数値列(例:「3,7,2」)を次回使っても,マトリクス表が変わっているため正しい位置には違う数値が現れる。リプレイ攻撃(盗聴した認証情報の再利用)への有効な対策となる。正解。
- エ.この方式は利用者が「記憶した位置・順序」という知識と,毎回変わる「ランダムマトリクス表」を組み合わせる知識認証の発展形であり,指紋や顔などの生体情報を使うバイオメトリクス認証とは根本的に異なる認証要素を使っている。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧へ戻る・問97