情報セキュリティマネジメント平成29年秋期 午前問18

午前問18

パスワードを用いて利用者を認証する方法のうち,適切なものはどれか。
  • パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
  • パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して比較する。
  • パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
  • パスワードをハッシュ値に変換して登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して比較する。
  • [この問題の出題歴]
  • 基本情報技術者 H26春期 問42

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

認証する側がデータベース等に平文のパスワードそのままを格納している状態だと、不正アクセスを受けた際にパスワードが漏えいしてしまう危険性が高まります。不正アクセスを受けた際のパスワードを流出を防ぐためには、データベース等にはパスワードのハッシュ値を格納しておき、認証時には入力されたパスワードのハッシュ値とデータベース上のパスワードのハッシュ値と比較する方法が有効です。

ハッシュ関数は同じ値が入力されれば必ず同じハッシュ値を出力する性質を持つので、認証する側では相手の本当のパスワード値を知らなくても、ハッシュ値の比較によって入力されたパスワードが正しいことを確認できます。
  • 利用者IDのハッシュ値とパスワードのハッシュ値は全く異なる値になるので意味のない比較です。
  • 認証にパスワードが使用されていないので不適切です。
  • 正しい。パスワードのハッシュ値同士を比較することで、入力されたパスワードが正しいかどうかを確認することができます。
  • 利用者IDのハッシュ値とパスワードのハッシュ値は全く異なる値になるので意味のない比較です。
© 2015-2022 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop