ワンタイムパスワードとは？ITパスポート試験 2014年 (平成26年 秋期) 問51を解説

問題文

次の認証方式の特徴に関する記述として,適切なものはどれか。 ・利用者にはあらかじめ乱数表が渡されている。 ・乱数表に印刷された数字は利用者ごとに異なる。 ・システムが要求する乱数表の座標位置に記載された数字をパスワードとして入力する。(座標位置は毎回異なる。) ・正しいパスワードの入力が確認できた場合に認証が成功する。 [乱数表の例(5×5)とB1,C2,D3,E4の場合パスワードは24644131となる例]

この問題の出題ポイント

• ワンタイムパスワードの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
• テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
• 関連タグ: ワンタイムパスワード、認証、図表問題。

選択肢

1. アシステムが要求する乱数表の座標位置が同じでも,パスワードは毎回異なる。
2. イ知識による認証の一種である。
3. ウ盗聴したパスワード利用による,なりすましの防止に有効である。正解
4. エ乱数表を他人に渡しても安全である。

解説

なぜ他の選択肢が違うのか

• ア

  誤り. 乱数表は利用者ごとに異なるが,座標位置が同じであればパスワード文字列は同じ数字になる. 「座標位置が同じならパスワードは毎回異なる」は乱数表の性質と矛盾する説明. 本方式の特徴は座標位置が毎回変わることであって,同じ座標で結果が毎回変わるわけではないため,記述として不正確.

• イ

  誤り. この認証方式は乱数表という「所有物」と,座標位置に対応する数字を知っているという要素を組み合わせており,純粋な「知識による認証」とは言い切れない. 厳密にはマトリクス認証は所有物的要素を持つ二要素的な性格で,本問の選択肢としては適切な分類とは言えない.

• ウ（正解）

  正解. 入力されるパスワード文字列は座標位置の組合せが毎回変わるため毎回異なり,通信路で盗聴された過去のパスワード文字列を再利用した「なりすまし」攻撃を防ぐのに有効. ワンタイムパスワードに近い性質を持つマトリクス認証の核心的なメリットであり,盗聴対策として広く採用される.

• エ

  誤り. 乱数表自体を他人に渡してしまうと,その他人はシステムから指示された座標の数字を読み取って正規利用者になりすませる. 乱数表は本人のみが所有することがセキュリティの前提であり,他人に渡しても安全とは言えない. 「所有物の本人占有」が機能する前提を崩す行為となる.

解き方の整理

ワンタイムパスワードの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

2014年 (平成26年 秋期) の関連する問題

2014年 (平成26年 秋期)の問題一覧 ITパスポート試験の解説一覧