平成23年度秋期、基本情報処理技術者試験の問題。

入力パスワードと登録パスワードを用いて利用者を認証する方法において，パスワードファイルへの不正アクセスによる登録パスワードの盗用防止策はどれか。

ア．パスワードに対応する利用者IDのハッシュ値を登録しておき，認証時に入力された利用者IDをハッシュ関数で変換して参照した登録パスワードと入力パスワードを比較する。
イ．パスワードをそのまま登録したファイルを圧縮しておき，認証時に復元して，入力されたパスワードと比較する。
ウ．パスワードをそのまま登録しておき，認証時に入力されたパスワードと登録内容をともにハッシュ関数で変換して比較する。
エ．パスワードをハッシュ値に変換して登録しておき，認証時に入力されたパスワードをハッシュ関数で変換して比較する。

正解は勿論「エ」なんですが、ある意味アの対策も面白いな、って。

ノーガード戦法じゃないけど、何も考えずに機械的に抜き出したら(特にハッキングから盗用までプログラムでやってたら）まさかパスワードが生の値と思わないだろうし、逆にIDがそのまま保存されてないとは思わないだろうから。
高度な技術を持つ人間の思い込みを利用した登録パスワードの盗用防止策として……

あ、でもハッシュ値がかぶる場合があるからダメだ(笑)



っていうか「入力パスワードと登録パスワードを用いて利用者を認証する方法」じゃなくて
「登録IDと登録パスワードを用いて利用者を認証する方法」と書く方が正確じゃないかな。
同じように書きたいなら「入力パスワードと登録パスワードを比較して利用者を認証する方法」とか。

...基本情報の試験なだけに日本語の表記がちょっとオブジェクト指向(苦笑)