2013年06月22日

パスワードファイルへの不正アクセスによる登録パスワードの盗用防止策(笑)

平成23年度秋期、基本情報処理技術者試験の問題。
入力パスワードと登録パスワードを用いて利用者を認証する方法において,パスワードファイルへの不正アクセスによる登録パスワードの盗用防止策はどれか。

ア.パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して参照した登録パスワードと入力パスワードを比較する。
イ.パスワードをそのまま登録したファイルを圧縮しておき,認証時に復元して,入力されたパスワードと比較する。
ウ.パスワードをそのまま登録しておき,認証時に入力されたパスワードと登録内容をともにハッシュ関数で変換して比較する。
エ.パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。

正解は勿論「エ」なんですが、ある意味アの対策も面白いな、って。

ノーガード戦法じゃないけど、何も考えずに機械的に抜き出したら(特にハッキングから盗用までプログラムでやってたら)まさかパスワードが生の値と思わないだろうし、逆にIDがそのまま保存されてないとは思わないだろうから。
高度な技術を持つ人間の思い込みを利用した登録パスワードの盗用防止策として……

あ、でもハッシュ値がかぶる場合があるからダメだ(笑)



っていうか「入力パスワードと登録パスワードを用いて利用者を認証する方法」じゃなくて
「登録IDと登録パスワードを用いて利用者を認証する方法」と書く方が正確じゃないかな。
同じように書きたいなら「入力パスワードと登録パスワードを比較して利用者を認証する方法」とか。

...基本情報の試験なだけに日本語の表記がちょっとオブジェクト指向(苦笑)
ウィルス・スパイウェア・情報セキュリティ (その他)
にほんブログ村ランキング参加中です♪役に立ったらクリック宜しくです(≧∇≦)
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/69819098
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック
ologo_wback.gif  Dropbox_logo_160xVMware_Logo
 

まだ載って無いエントリーも多いですが、ただいま過去のエントリーも頑張ってタグ化中です〜(謝)

※お詫び※
コメントにHPアドレス欄がありますが、本文も含め記入があるとコメントできません。
(ocnやyahooBBからのトラックバックSPAM急増のため。該当ISPは投稿ブロックします。苦情は利用ISPにお願いします。)