今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は6.4章:ワンタイムパスワード方式による本人認証のCheck問題です。
【Q1】ワンタイムパスワード方式とはどのようなものか。
認証を行うたびに毎回異なるパスワードを使用する方式。一度使用したパスワードは再利用せず使い捨てる。
【Q2】ワンタイムパスワードを実現する手法としてどのような種類があるか。
①チャレンジレスポンス方式
②S/Key方式
③トークンカード(携帯認証装置)方式
【Q3】チャレンジレスポンス方式では、なぜパスワードが盗まれにくくなるのか。
ハッシュ関数を用いるためチャレンジおよびレスポンスが盗聴されてもそこから計算に使われたパスワード(Seed値)を求めるのが困難であるため。
【Q4】チャレンジレスポンス方式ではセキュリティ上の問題は発生しないのか。
①盗聴されたチャレンジとレスポンスをもとに、オフラインパスワードクラックが行われパスワードが解析される可能性がある。
②認証サーバの信頼性を確認する仕組みがないため、偽の認証サーバによってセッションハイジャックが行われる可能性がある。
【Q5】S/Keyではどのようにしてワンタイムパスワードを生成するのか。
S/Keyではクライアントはサーバに対して SSH などでログインするか、 クライアント自身 しくはローカル環境からのアクセスによって、 1日のパスフレーズを生成して登録しておく。
そのパスフレーズは、 Seedとパスワードを連結した文字列を入力値として、ハッシュ関数をログインの最大回数分繰り返し演算した結果であり、ログインする際はハッシュ関数を繰り返し行った回数が多い順にパスフレーズとして使用する。
これにより、パスフレーズを盗み取られても一つ前のパスフレーズは算出できないためワンタイムパスワードとして使用できる。
【Q6】S/Keyを使用する場合にセキュリティ上留意すべき事項として何があるか。
①初期処理を盗聴されないよう、sshの暗号通信を用いたりローカルで作業をしたほうがよい。
②認証サーバの信頼性を確認する仕組みがないため、偽の認証サーバによってセッションハイジャックが行われる可能性がある。
【Q7】トークンによるワンタイムパスワード方式(時間同期式)はどのようにしてパスワードを生成するのか。
認証サーバと時間同期し、一定時間ごとにトークン情報をもとにパスワード(トークンコード)を生成する。
【Q8】認証サーバの運用上考慮すべき事項として何があるか。
ユーザ情報の管理が煩雑にならないように既存の環境との親和性やユーザ情報の一元管理が必要になる。
【Q9】トークンの運用管理上考慮すべき事項として何があるか。
トークンを使用している人は利用者本人であるという前提のため、トークン情報が他人に渡らないよう対策する必要がある。
私が使っているのは2022年版のテキストですが、2024年版も出ています。