- ベストアンサー
ワンタイムパスワードに関する質問です。
下記ページの内容の中で、 設問2の(3)の解法が分かりませんから、教えて下さい。 http://情報処理試験.jp/FE21b-pm/t04.html そもそも、不正なサーバが規定のパスワードを把握していない場合には、 たとえ利用者のIDが送信されましても、 組み合わせのパスワードが分かりませんので、 其の不正なサーバがチャレンジを作成し得ませんね。 従いまして、悪用の為に、 もし(3)の状況で不正なサーバが其のパスワードを求めるのでしたら、 『其の儘』のパスワードを盗聴せざるを得ないのでしょうから、 「チャレンジレスポンス方式」が成立しない故に、 (3)の正解がエではなく、アなのでしょうか?
- SakuraiMisato
- お礼率39% (237/599)
- 情報処理技術者
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
基本情報技術者 平成21年 秋期 午後 問4 > 組み合わせのパスワードが分かりませんので、 > 其の不正なサーバがチャレンジを作成し得ませんね。 いいえ,間違っています。 「ランダムに生成したチャレンジと呼ばれる値c」だと書いてあります。チャレンジを生成するのにパスワードは不要であり,ただランダム値を生成しさえすればそれがチャレンジの作成です。不正サーバであってもそれを易々と実現できます。 さらに不正サーバは,端末から返ってきたレスポンスを保存しておくことができます。利用者のパスワードp自体は分かりませんが,パスワードpとチャレンジcを公知の関数h()で計算した結果=レスポンスを入手することは不正サーバでもできます。これは問題文の表現では「誤接続したサーバ上で端末から送信された情報が盗まれる」にあたります。 そして問題文は「この盗んだ情報(=レスポンス)をそのまま利用することによって,サーバへの不正ログインが可能か」と問うています。 もし万が一の偶然で,正規サーバが生成したランダム値が不正サーバが生成したランダム値と同一であったとしたら,盗んだレスポンスを正規サーバに返送することで不正ログインが可能となります。パスワードp自体を知っている必要はありません。 ただ現実には,同じランダム値になることは万が一にもあり得ません。数十年に一度のレベルでもそれがあり得るのだとしたら,それはランダム値としてふさわしくないということになります。
関連するQ&A
- ワンタイムパスワード
これから大学でセキュリティの勉強をしようとしているのですが ワンタイムパスワードに興味を持ちました ただ実際に僕はワンタイムパスワードを使用したことが無いので わからないことだらけです 現在ワンタイムパスワードはどのくらい実用化されているのでしょうか? ワンタイムパスワードはチャレンジレスポンス、S/Keyの他にもあるのでしょうか? チャレンジレスポンスの場合、悪意のある人間がHHAを持っていた場合に チャレンジコードを盗聴されてしまったらそれを元にパスワードが知られてしまうのではないでしょうか? たくさん質問してしまいましたがどれかひとつでも答えてもらえれば助かります よろしくお願いします
- ベストアンサー
- ネットワーク
- 私の理解度の確認の為に、此の質問を致します。
パスワード生成器で作られた暫定的なパスワードの値が、 たとえ不正なサーバへのログインによって聴取されましても、 もし元のパスワードが漏洩されていませんでしたら、 其の不正なサーバの管理者がNTPサーバで時計合わせを試みたところで、 更新後のパスワードと同じ値の生成は殆ど為され得ませんね。 従いまして、其の故に、 トークン由来のパスワードは(チャレンジへのレスポンスの場合よりも)安全に個人情報を守れるのでしょうか?
- ベストアンサー
- 情報処理技術者
- 基本情報技術者試験の過去問について
こんにちは 平成22年秋期の基本情報技術者試験を受けて、 微妙な点数で、不合格になったものです。 できれば、来年、春期の受験を目指して、勉強を再開したのですが。 過去問を解いていて、わからないことが出て参りましたので 質問させていただきます。 よろしければ、このサイトを見ていただきたいのですが・・・ http://itpro.nikkeibp.co.jp/article/COLUMN/20091228/342758/?ST=selfup&P=3 上記の過去問解説サイトにあります、 「チャレンジレスポンス方式」についてなのですが、 ログインするサーバから、ログインを試みているパソコンへ チャレンジcが送られた後、ログインするパソコンが h(p,c)をサーバへ送信してログイン可否をサーバが判断するそうですが、 関数hはパソコン上にあるのでしょうか。 それとも、サーバ上にあって、ログインを試みるパソコンに計算させて 送信させるのでしょうか。 通信経路上を流れているのはユーザーIDだけなので、 パスワードが入手されなければ、不正なログインを防げる、 とありますが、 キーロガーが仕掛けられている場合、他者に ユーザーIDおよび、「パスワード」が盗まれるのでしょうが、 自分はこの問題の設問2の (d) を解いている際、 ログインするパソコン(この場合、他者)に関数hがなければ、 パスワードを入手してもログインできないのでは、と考え、 間違えてしまいました。 キーロガーを仕掛けられていても不正にログインされない、 と考えてしまいました。 どなたかご存知の方、教えていただけないでしょうか。 あるいは、解説されているサイト等教えていただけないでしょうか。 よろしくお願いします。
- ベストアンサー
- 情報処理技術者
- 妥当性で解答を選びましたが、不安になりました。
下記のページの設問の正解は(ア)だけなのでしょうけれども、 何故に(エ)が正解になれないのでしょうか? http://情報処理試験.jp/FE19b-am/k09.html 因みに、" http://punycode.jp/ "のページでの変換が成功されませんでしたので、其の儘のURLでリンクさせています。
- ベストアンサー
- 情報処理技術者
- 正解選びの根拠を伺っています。
下記ページの設問1では、配送日数が絞り込み条件に留まっていますので、 (カ)が正解に含まれていないのでしょうか? http://情報処理試験.jp/FE15a-pm/t05.html
- ベストアンサー
- 情報処理技術者
- 試験実施日近くの悪足掻きです。
下記ページの設問2の(b)の正解が(カ)の値である、 という事情の根拠を教えて頂けませんでしょうか? http://情報処理試験.jp/FE15a-pm/t05.html
- ベストアンサー
- 情報処理技術者
- 分からない事が多過ぎて恰好が悪いのですが、…。
" http://情報処理試験.jp/FE21a-pm/t01.html "の設問2・3の両方を、 私は間違えてしまいましたが、当該ページには、 正解の根拠が掲載されていませんから、 学習の進歩に繋げる為に、御教授を賜れませんでしょうか?
- ベストアンサー
- 情報処理技術者
- ■ CPUの割当て方式に関する問題 ■
以下URLに記載されている問題です。 設問1にある到着順方式、およびラウンドロビン方式のターンアラウンドタイム平均時間について、答えの導き出し方を教えてください。 計算方法など解説をして頂ける方、よろしくお願いいたします。 http://情報処理試験.jp/FE23a-pm/t02.html
- ベストアンサー
- 情報処理技術者
- ワンタイムパスワードに関する質問です。
"OAuth( http://gihyo.jp/dev/feature/01/oauth/0001 )"へも、 "OTP( http://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89 )"の仕組みが応用されているのでしょうか?
- ベストアンサー
- 情報処理技術者
- レベルが低過ぎる状態の質問で畏れ入ります。
PPPoEの場合には、初期設定でID・PWが送信されますと、 次の機会からは、サーバーからチャレンジが送られてきますので、 2回目のPW送信が要求されていないのだろう、 と私は勝手に想像して参りました。 従いまして、2回目のPW送信が必要になっていない故に、 PPPoEの認証もがワンタイムパスワード方式に属しているのではないか、 と予想したのですが、其の認識は私の誤解なのでしょうか?
- ベストアンサー
- 情報処理技術者
補足
有り難う御座います。 私の身近な環境では、PPPoEの場面で、 チャレンジレスポンスの遣り取りが実施されているのだろう、 と思われますので、それをイメージしまして此の質問文を纏めました。 つまり、ブロードバンドルータによるWAN設定の際に、 ISP業者から届きました資料の内容の通りに、 規定の個人情報(ID・PW)を其の儘の値で当該設定画面へ入力して参りましたので、たとえチャレンジが届きませんでしても、 其の儘で筒抜けになり得るのだろう、と私は考えたのですが、 其の解釈は誤りなのでしょうか? 実際に一般家庭用機器の設定で経験しやすい内容を具体例に据えられますと、私の印象に残りやすいですから、 ややこしい展開になりまして畏れ入りますが、 宜しく御願い申し上げます。