• ベストアンサー

私の理解度の確認の為に、此の質問を致します。

パスワード生成器で作られた暫定的なパスワードの値が、 たとえ不正なサーバへのログインによって聴取されましても、 もし元のパスワードが漏洩されていませんでしたら、 其の不正なサーバの管理者がNTPサーバで時計合わせを試みたところで、 更新後のパスワードと同じ値の生成は殆ど為され得ませんね。 従いまして、其の故に、 トークン由来のパスワードは(チャレンジへのレスポンスの場合よりも)安全に個人情報を守れるのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • jjon-com
  • ベストアンサー率61% (1599/2592)
回答No.1

チャレンジレスポンス認証というのは, サーバから送信されるランダムなチャレンジコード,パスワード,何らかのハッシュ関数によって,暫定的なレスポンスコードを生成します。 http://okwave.jp/qa/q7746075.html の私の回答ANo.1 時刻同期方式のワンタイムパスワード認証は, ハードウェアトークンが生成するトークンコード,パスワード,何らかのハッシュ関数によって,暫定的なOTPを生成します。 > 暫定的なパスワードの値が、 > たとえ不正なサーバへのログインによって聴取されましても、 > もし元のパスワードが漏洩されていませんでしたら、 > 更新後のパスワードと同じ値の生成は殆ど為され得ませんね。 > 従いまして、其の故に、 という箇所が着目点なのであれば,その点はチャレンジレスポンスも時刻同期方式も変わらないです。 違いは, チャレンジレスポンスの場合はチャレンジコードが通信回線を流れるのに対して, 時刻同期方式のトークンコードは通信回線を流れないということです。 また,すべてのハードウェアトークンが同じ時刻に同じトークンコードを表示するのではなく,セキュアサイトの運営者が各利用者にハードウェアトークンを発行する際,各利用者ごとにハードウェアトークンの設定を変えて利用者に渡しますから,単純に「其の不正なサーバの管理者がNTPサーバで時計合わせを試みたところで」トークンコードは生成できません。 > 但し、どんな新パスワードへの変更が行なわれているのかを、 > もし認証サーバ側で把握し得ていませんでしたら、其の場合には、 > 同一の利用者の利用継続が証明され得ませんので、 > どういう手段で其の問題を解消されているのかが分かりませんから、 > 畏れ入りますが、教えて頂けませんでしょうか? > http://okwave.jp/qa/q7745892.html の回答ANo.1の補足 一般的なパスワード変更処理と同じです。サーバにログインした状態で,新パスワードを入力すれば,サーバ側に新パスワードが伝わりますよね。

littlekids
質問者

補足

有り難う御座います。 応用させ得る程に理解を深めておきませんと、 たとえ多くの過去問題の復習を繰り返しましても、 本番で役立たないかも知れませんので、 発展的な質問への回答にも協力して下さいまして、 非常に助かりました。 試験日直前の時期を迎えながら酷く恰好が悪いのですが、 諦めたくは御座いませんから、畏れ入りますが、 下記のページでも御教授を賜れませんでしょうか? http://okwave.jp/qa/q7750513.html

関連するQ&A

専門家に質問してみよう