予想問題vol.5 問30
問30
パスワードを用いて利用者を認証する方法のうち,適切なものはどれか。
- パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
- パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して比較する。
- パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
- パスワードをハッシュ値に変換して登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して比較する。
- [出典]
- 基本情報技術者 H26春期 問42
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
ウ
解説
認証する側がパスワードを平文のままデータベース等に格納している状態だと、不正アクセスを受けた際に、ログインに使えるパスワードそのものが漏えいしてしまうことになります。この状態はセキュリティ上好ましくありません。
不正アクセスを受けた際のパスワード漏えいを防ぐためには、データベース等には平文のパスワードではなくパスワードのハッシュ値を格納するようにし、入力されたパスワードのハッシュ値とデータベース上のパスワードのハッシュ値と比較して認証する方法になっていることが大切です。
ハッシュ関数は同じ値が入力されれば常に同じハッシュ値を出力する性質を持つので、認証する側では相手の本当のパスワード値を知らなくても、ハッシュ値の比較によって入力されたパスワードが正しいことを確認できます。
不正アクセスを受けた際のパスワード漏えいを防ぐためには、データベース等には平文のパスワードではなくパスワードのハッシュ値を格納するようにし、入力されたパスワードのハッシュ値とデータベース上のパスワードのハッシュ値と比較して認証する方法になっていることが大切です。
ハッシュ関数は同じ値が入力されれば常に同じハッシュ値を出力する性質を持つので、認証する側では相手の本当のパスワード値を知らなくても、ハッシュ値の比較によって入力されたパスワードが正しいことを確認できます。
- 利用者IDのハッシュ値とパスワードのハッシュ値は全く異なる値になるので意味のない比較です。
- 認証にパスワードが使用されていないので不適切です。
- 正しい。パスワードのハッシュ値同士を比較することで、入力されたパスワードが正しいかどうかを確認することができます。
- 利用者IDのハッシュ値とパスワードのハッシュ値は全く異なる値になるので意味のない比較です。