情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問18: パスワードを用いて利用者を認証する方法のうち，適切なものはどれか。

問題本文

パスワードを用いて利用者を認証する方法のうち，適切なものはどれか。

選択肢

• ア.パスワードに対応する利用者 ID のハッシュ値を登録しておき，認証時に入力されたパスワードをハッシュ関数で変換して比較する。
• イ.パスワードに対応する利用者 ID のハッシュ値を登録しておき，認証時に入力された利用者 ID をハッシュ関数で変換して比較する。
• ウ.パスワードをハッシュ値に変換して登録しておき，認証時に入力されたパスワードをハッシュ関数で変換して比較する。
• エ.パスワードをハッシュ値に変換して登録しておき，認証時に入力された利用者 ID をハッシュ関数で変換して比較する。

正解

ウ. パスワードをハッシュ値に変換して登録しておき，認証時に入力されたパスワードをハッシュ関数で変換して比較する。

解説

パスワード認証を安全に行うには、パスワードそのものを保存せず、ハッシュ値に変換して登録しておき、認証時には入力されたパスワードを同じハッシュ関数で変換して登録値と照合する。こうすれば登録データが漏えいしても元のパスワードが分かりにくい。登録・照合いずれもパスワードをハッシュ化して比較するとしたウが適切である。

選択肢ごとの解説

• ア.誤り。登録するのは利用者IDではなくパスワードのハッシュ値であるべきで、IDのハッシュ値と入力パスワードを比較しても認証にならない。
• イ.誤り。登録対象・照合対象がIDになっており、パスワードを照合していないため認証として成立しない。
• ウ.正しい。パスワードをハッシュ化して登録し、入力パスワードを同じ関数で変換して照合する正しい方式である。
• エ.誤り。登録はパスワードのハッシュ値だが、照合するのが利用者IDのハッシュ値となっており、パスワードを検証できない。