問題本文
利用者が,トークンと呼ばれる装置などで生成した毎回異なる情報を用いて,認証を受ける認証方式を何というか。
選択肢
- ア.ディジタル署名
- イ.パスワードクラック
- ウ.パスワードポリシ
- エ.ワンタイムパスワード
解説
ワンタイムパスワード(One-Time Password、OTP)とは、トークン(専用装置・スマートフォンアプリ・SMSなど)が生成する毎回異なる使い捨てパスワードを使って認証する方式である。固定パスワードと異なりログイン1回ごとにパスワードが変わるため、仮にパスワードが盗聴・漏えいしても再利用できず安全性が高い。時刻ベース(TOTP)や計算ベース(HOTP)などの生成方式がある。GoogleAuthenticatorやRSA SecurIDトークンが代表例。ディジタル署名は改ざん検出・本人確認の暗号技術、パスワードクラックは攻撃手法、パスワードポリシはルール体系であり、いずれも認証方式の名称ではない。
選択肢ごとの解説
- ア.誤り。ディジタル署名(Digital Signature)は公開鍵暗号を使って送信者の真正性と改ざんの有無を証明する暗号技術である。認証に使われることもあるが、「トークンで毎回異なる情報を生成して認証する」仕組みとは根本的に異なる。ディジタル署名は毎回異なる値を生成するものではない。
- イ.誤り。パスワードクラック(Password Crack)はブルートフォース・辞書攻撃・レインボーテーブルなどの手法を使ってパスワードを解析・解読する攻撃行為の総称である。認証方式の名前ではなく攻撃手法の名称であり、「毎回異なる情報で認証する方式」の説明とは全く異なる。
- ウ.誤り。パスワードポリシ(Password Policy)はパスワードの最低文字数・複雑性要件・有効期限・使い回し禁止などを定めた組織のルール・規則のことである。認証の方式名ではなくパスワード管理に関する方針・規程を指す用語であり、トークンとも関係しない。
- エ.正しい。ワンタイムパスワード(OTP)はトークンが生成した1回限りの使い捨てパスワードで認証する方式。時刻同期型(TOTP:Time-based OTP)ではサーバとトークンが同じ時刻と共有鍵から同一のパスワードを生成する。パスワードを傍受されても次回ログインに使えないため安全性が高い。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問94