やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

【認証・アクセスコントロールー利用者認証】平成21年秋 基本情報技術者試験 午後 問4

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「認証・アクセスコントロール」の「利用者認証」を取り上げた「平成21年秋 基本情報技術者試験 午後 問4」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成21年秋 基本情報技術者試験 午後 問4

問4 利用者認証に関する次の記述を読んで、設問1、2に答えよ。

 X社では、社外の端末から社内のサーバへのリモートログインを可能にするため、利用者認証の方式を検討している。社内では、利用者IDとパスワードとサーバに送信する方式を使用しており、そのパスワードの強化を含め、次の三つの方式の安全性を検討している。

〔方式1:利用者IDとパスワード方式〕

 端末は、利用者が入力した利用者IDとパスワードをサーバに送信する。サーバは利用者IDから登録されているパスワードを検索し、送信されたパスワードと照合することによって、ログインの可否を応答する。利用者IDとパスワード方式を図1に示す。

f:id:aolaniengineer:20200113143514p:plain

〔方式2:チャレンジレスポンス方式〕

 端末は、利用者が入力した利用者IDをサーバに送信する。サーバは、利用者IDを受信すると、ランダムに生成したチャレンジと呼ばれる値cを端末に送信する。端末は、利用者が入力したパスワードpとチャレンジcから、ハッシュ値hp,c)を計算して、レスポンスの値としてサーバに送信する。サーバは、利用者IDから登録されているパスワードp’を検索し、端末と同じハッシュ関数hを使って計算したハッシュ値hp',c)とレスポンスの値とを照合することによって、ログインの可否を応答する。ここで、ハッシュ関数hは公知のものであり、どの端末でも計算可能とする。チャレンジレスポンス方式を図2に示す。

f:id:aolaniengineer:20200113143544p:plain

〔方式3:トークン(パスワード生成器)方式〕

 利用者には、自身の利用者IDが登録されたトークンと呼ばれるパスワード生成器を配布しておく。トークンの例を図3に示す。

f:id:aolaniengineer:20200113143607p:plain

 トークンは時計を内蔵しており、関数gを使って、利用者IDであるuと時刻tに応じたパスワードg(u,t)を生成し表示することができる。利用者は、利用者IDとトークンが生成し表示したパスワードを入力し、端末はこれらをサーバに送信する。サーバは、利用者IDであるuとサーバの時刻tからトークンと同じ関数gを使って生成したパスワードg(u,t)と端末から受信したパスワードを照合することによって、ログインの可否を応答する。

 なお、トークンの時刻とサーバの時刻が同期していることは保証されており、トークンのパスワード表示からサーバにおけるパスワード生成までの遅延も、一定の時間は許容する。トークン方式を図4に示す。

f:id:aolaniengineer:20200113143634p:plain

設問1 パスワードの強度に関する次の記述中の( )に入れる正しい答えを、解答群の中から選べ。

 

 方式1、2では、利用者がパスワードを設定する。こららの方式を採用する場合には、容易には推定されないパスワード、すなわち、十分な強度をもつパスワードを、利用者に設定してもらう必要がある。

 パスワードの強度を高めるためには、パスワードを長くすることやパスワードに利用する文字の種類を増やすことが考えられる。例えば、英小文字26文字だけからなる8文字のパスワードに対して、総当たり方式による発見に必要な最大時間を1とすると、パスワードの長さを10文字にすれば必要な最大時間は(a:676)となる。また、同じ8文字であっても、英大文字も使用する場合、必要な最大時間は(b:256)となる。

a:676

 総当り方式による発見に必要な最大時間は、パスワードの組み合わせ数に比例すると考えられます。使用可能な文字数が26文字で文字列長が8文字の場合のパスワードの組み合わせ数は26の8乗、これが文字列長が10文字の場合は26の10乗になります。

 文字列長が8文字の場合を1とすると、文字列長が10文字の場合は26の2乗=676になります。

b:256

 英大文字も使用する場合、パスワードの組み合わせ数は52の8乗になります。

 同じく、文字数が26文字の場合を1とすると、文字数が52文字の場合は2の8乗=256になります。

設問2 盗聴のリスクに関する次の記述中の( )に入れる正しい答えを、解答群の中から選べ。解答は、重複して選んでもよい。

 利用者認証の方式によっては、不正な方法によって入手した情報(例えば利用者IDとパスワード)をそのまま利用することによって、不正ログインが行われる可能性がある。

(1)社外からの通信経路上で通信内容が盗聴された場合、盗んだ情報をそのまま利用することによって、利用者がパスワードを変更しない限り、サーバへの不正ログインがいつでも可能になるのは、(c:方式1だけ)である。ただし、通信経路は暗号化されていないものとする。

 方式1では、利用者IDとパスワードが通信経路に流れるため、盗聴した情報で不正ログインが可能になります。

 方式2では、利用者IDとチャレンジ、レスポンスが通信経路に流れます。盗聴したレスポンスからパスワードを算出することは不可能のため、不正ログインはできません。

 方式3では、利用者IDとパスワードが通信経路に流れます。このパスワードは時刻により異なる値をとるため、不正ログインはできません。

(2)社外からのリモートログインに利用する端末上で、キーボード入力を読み取って、第三者に送信するプログラムが動作していた場合、盗んだ情報をそのまま利用することによって、利用者がパスワードを変更しない限り、サーバへの不正ログインがいつでも可能になるのは、(d:方式1、2だけ)である。

 方式1では、盗聴した情報で不正ログインが可能になります。

 方式2では、盗聴したパスワードからチャレンジに対するレスポンスが算出できるため、不正ログインが可能になります。

 方式3では、パスワードは時刻により異なる値をとるため、不正ログインはできません。

(3)誤って不正なサーバに接続して通常のログイン操作を行った場合、誤接続したサーバ上で端末から送信された情報が盗まれる場合がある。この盗んだ情報をそのまま利用することによって、利用者がパスワードを変更しない限り、サーバへの不正ログインがいつでも可能になるのは、(e:方式1だけ)である。

【出典:基本情報技術者試験 平成21年度秋期午後問4(一部、加工あり)】

 (1)の通信経路での盗聴と同様です。