• ベストアンサー

私の理解度の確認の為に、此の質問を致します。

パスワード生成器で作られた暫定的なパスワードの値が、 たとえ不正なサーバへのログインによって聴取されましても、 もし元のパスワードが漏洩されていませんでしたら、 其の不正なサーバの管理者がNTPサーバで時計合わせを試みたところで、 更新後のパスワードと同じ値の生成は殆ど為され得ませんね。 従いまして、其の故に、 トークン由来のパスワードは(チャレンジへのレスポンスの場合よりも)安全に個人情報を守れるのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • jjon-com
  • ベストアンサー率61% (1599/2592)
回答No.1

チャレンジレスポンス認証というのは, サーバから送信されるランダムなチャレンジコード,パスワード,何らかのハッシュ関数によって,暫定的なレスポンスコードを生成します。 http://okwave.jp/qa/q7746075.html の私の回答ANo.1 時刻同期方式のワンタイムパスワード認証は, ハードウェアトークンが生成するトークンコード,パスワード,何らかのハッシュ関数によって,暫定的なOTPを生成します。 > 暫定的なパスワードの値が、 > たとえ不正なサーバへのログインによって聴取されましても、 > もし元のパスワードが漏洩されていませんでしたら、 > 更新後のパスワードと同じ値の生成は殆ど為され得ませんね。 > 従いまして、其の故に、 という箇所が着目点なのであれば,その点はチャレンジレスポンスも時刻同期方式も変わらないです。 違いは, チャレンジレスポンスの場合はチャレンジコードが通信回線を流れるのに対して, 時刻同期方式のトークンコードは通信回線を流れないということです。 また,すべてのハードウェアトークンが同じ時刻に同じトークンコードを表示するのではなく,セキュアサイトの運営者が各利用者にハードウェアトークンを発行する際,各利用者ごとにハードウェアトークンの設定を変えて利用者に渡しますから,単純に「其の不正なサーバの管理者がNTPサーバで時計合わせを試みたところで」トークンコードは生成できません。 > 但し、どんな新パスワードへの変更が行なわれているのかを、 > もし認証サーバ側で把握し得ていませんでしたら、其の場合には、 > 同一の利用者の利用継続が証明され得ませんので、 > どういう手段で其の問題を解消されているのかが分かりませんから、 > 畏れ入りますが、教えて頂けませんでしょうか? > http://okwave.jp/qa/q7745892.html の回答ANo.1の補足 一般的なパスワード変更処理と同じです。サーバにログインした状態で,新パスワードを入力すれば,サーバ側に新パスワードが伝わりますよね。

littlekids
質問者

補足

有り難う御座います。 応用させ得る程に理解を深めておきませんと、 たとえ多くの過去問題の復習を繰り返しましても、 本番で役立たないかも知れませんので、 発展的な質問への回答にも協力して下さいまして、 非常に助かりました。 試験日直前の時期を迎えながら酷く恰好が悪いのですが、 諦めたくは御座いませんから、畏れ入りますが、 下記のページでも御教授を賜れませんでしょうか? http://okwave.jp/qa/q7750513.html

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. ビジネス・キャリア
  3. 職業・資格
  4. 情報処理技術者

関連するQ&A

  • ワンタイムパスワードに関する質問です。

    下記ページの内容の中で、 設問2の(3)の解法が分かりませんから、教えて下さい。 http://情報処理試験.jp/FE21b-pm/t04.html そもそも、不正なサーバが規定のパスワードを把握していない場合には、 たとえ利用者のIDが送信されましても、 組み合わせのパスワードが分かりませんので、 其の不正なサーバがチャレンジを作成し得ませんね。 従いまして、悪用の為に、 もし(3)の状況で不正なサーバが其のパスワードを求めるのでしたら、 『其の儘』のパスワードを盗聴せざるを得ないのでしょうから、 「チャレンジレスポンス方式」が成立しない故に、 (3)の正解がエではなく、アなのでしょうか?

  • CHAPとOTPの違い

    こんばんは。 CHAPとOTPの意味の違いについて教えてください。 IT用語辞典(http://e-words.jp/)によると CHAPは・・・ まず「チャレンジ」と呼ばれる乱数文字列をサーバからクライアントに送る。クライアントはこれを元に自身のパスワードを暗号化して返す。サーバはクライアントのパスワードを記憶しているので、同様の暗号化をして、その結果とクライアントから返された暗号とを比較することでユーザの認証を行なうことができる。 OTPは・・・ まずサーバが端末に認証文字列の「種」となるランダムな文字列(「チャレンジ」と呼ばれる)を送信する。  ユーザは自分しか知らない秘密のパスワードを端末に入力する。端末に備えられたソフトウェアがサーバから送られてきたチャレンジ文字列とユーザが入力したパスワードを一定の手順に従って演算し、生成された結果(「レスポンス」と呼ばれる)をサーバに送信する。 とほぼ同じ意味に受け取れる内容がでてきます。 しかし一般にCHAP=OTPとは聞いたことがありません。 どのように違うのでしょうか?

  • RSAセキュリテリ、ワンタイムパスワードの仕組みを教えて

    サイトで研究しましたが、現実のところがわからないのでお使いの方、お教えください。 小さな「RSAパスワード生成機」を見たことがありますが、あれは電池が切れてしまうと、再度、自分の暗証番号4桁を入れるのでしょうか?セットしてから利用可能ということですよね。 1分おきに6桁が生成されるそうですが、もたもたしていると番号がかわってしまいませんか? ログインするときは自分のユーザ名を入れてから、パスワード欄にこの生成機の数字6桁を入力してから、なおかつ4桁の暗証番号を入力するのでしょうか?また、この時の暗証番号は、RSAカードに初期設定する番号と同じなのでしょうか?また、この番号と、サーバにセットする暗証番号と同じなのでしょうか?サーバが生成したパスワードと、1分おきに生成し直されるパスワードはおなじものなのでしょうけど、携帯生成機の時刻合わせはどのようにするのでしょうか?だんだんずれて行くけど、サーバ側が6桁の番号から、時刻を合わせているのでしょうか?つまり、時刻は狂ってくるものなのでしょうか?なまじ、携帯生成機の時刻をただしくしたとすると、ログインできなくなるのでしょうか?それとも時刻の狂いは1時間くらい許容されているのでしょうか? 生成機が生成する番号6桁は、あるあるゴリリズムに基づいていると思いますが、公開されているのでしょうか?あるいは、もう解読されているのでしょうか?RSA が高価ですので、フリーの生成機のようなソフトはあるのでしょうか? これとて、4桁のサーバにセットする番号と、生成アルゴリズムがわかれば、解読できると思いますがいかがでしょうか?

  • 基本情報技術者試験の過去問について

    こんにちは 平成22年秋期の基本情報技術者試験を受けて、 微妙な点数で、不合格になったものです。 できれば、来年、春期の受験を目指して、勉強を再開したのですが。 過去問を解いていて、わからないことが出て参りましたので 質問させていただきます。 よろしければ、このサイトを見ていただきたいのですが・・・ http://itpro.nikkeibp.co.jp/article/COLUMN/20091228/342758/?ST=selfup&P=3 上記の過去問解説サイトにあります、 「チャレンジレスポンス方式」についてなのですが、 ログインするサーバから、ログインを試みているパソコンへ チャレンジcが送られた後、ログインするパソコンが h(p,c)をサーバへ送信してログイン可否をサーバが判断するそうですが、 関数hはパソコン上にあるのでしょうか。 それとも、サーバ上にあって、ログインを試みるパソコンに計算させて 送信させるのでしょうか。 通信経路上を流れているのはユーザーIDだけなので、 パスワードが入手されなければ、不正なログインを防げる、 とありますが、 キーロガーが仕掛けられている場合、他者に ユーザーIDおよび、「パスワード」が盗まれるのでしょうが、 自分はこの問題の設問2の (d) を解いている際、 ログインするパソコン(この場合、他者)に関数hがなければ、 パスワードを入手してもログインできないのでは、と考え、 間違えてしまいました。 キーロガーを仕掛けられていても不正にログインされない、 と考えてしまいました。 どなたかご存知の方、教えていただけないでしょうか。 あるいは、解説されているサイト等教えていただけないでしょうか。 よろしくお願いします。

  • レベルが低過ぎる状態の質問で畏れ入ります。

    PPPoEの場合には、初期設定でID・PWが送信されますと、 次の機会からは、サーバーからチャレンジが送られてきますので、 2回目のPW送信が要求されていないのだろう、 と私は勝手に想像して参りました。 従いまして、2回目のPW送信が必要になっていない故に、 PPPoEの認証もがワンタイムパスワード方式に属しているのではないか、 と予想したのですが、其の認識は私の誤解なのでしょうか?

  • ApacheでのHTTPヘッダーの編集

    ApacheでのHTTPヘッダーの編集についてご質問いたします。 Response HeaderのServerフィールドに新規に値を設定したいのです が、どうもうまくいきません。何か方法はあるのでしょうか? 具体的にいいますと、現状は Server:Apache… となっていますが、新たに"Value"を追加し Server:Apache…/"Value" または Server:Apache… Server:"Value" というようなヘッダーを生成したいと思っています。 (ちなみにIISだと簡単にできました。) なお、mod_headerモジュールは組み込まれております。 よろしくお願いいたします。

  • 【PCメール】他人の不正閲覧を見抜けるか?

    情報漏洩の時代、自分のメールを他人が不正傍受していないか不安です。仮に不正アクセスしているなら調べてわかるものなのでしょうか? 自分はレンタルサーバーでホームページを開き、自作CGIで来客のログを閲覧したりもしてますのでそういった方法で自分以外のアクセスの有無を確認できたらと考えています。 さすがに毎日メールパスワードを変えるわけにもいきませんから… お詳しい方、よろしくお願いいたします。 *サーバーはさくらインターネットです。

  • mysqlをバックアップするツールを使いたいが怖くて使えない

    mysqlのデータが簡単に手軽にバックアップできるツールを探して phpMyBackupPro というツールにたどり着いたのですが、 当然DBのパスワードとかIDを入力しなければならず それが、知らず知らずのうちにどこかに送信されるんではないかと 不安で使えれません。つまり、この phpMyBackupPro に限らず どんなツールも使えれないことになりますが・・・。 また、日本語化パッチなど入れた場合、情報が漏洩されるプログラムが 追加されてるんじゃないかと不安になります。 phpMyBackupProだけでなく、PEAR等の、ライブラリ類でサーバー等の パスワードやIDが必要なライブラリは絶対安全なのでしょうか? あまり普及していないライブラリやツールは しばらく様子を見てから使用した方がいいでしょうか。 また、過去にツールを装って 入力データを不正に取得した例はあるのでしょうか? 石橋を叩きまくっている状態です。よろしくお願いします。

    • ベストアンサー
    • MySQL
  • SSLとMD5について

    今、ログイン周りを勉強しているのですが、 MD5でハッシュ化すればO.K.と思ってたら、 本の下の方に、 「いくらサーバー側で暗号化しても、パスワードは裸の状態で経路のネットワークを流れてくるわけですから気休めですけどね」 って書いてました。 MD5ってのは、平文で流れる場合、一応やった方がいい、ぐらいの感じなのでしょうか? ・平文で送らないためには、SSLにするしかないのでしょうか? ・SSLにしたら、MD5にしなくてもよいのでしょうか? ・チャレンジ/レスポンス認証というのは、どうやってやるんでしょうか? 「ここら辺の関連性」、「何が違うのか」、「注意したらいい点」、「それぞれのメリット・デメリット」等、教えてください。

    • ベストアンサー
    • PHP
  • 理解度測定の為に、此の質問文を纏めました。

    もし各プロセスが再配置可能になっていましたら、 たとえ(実行状態から実行可能状態への移行の時に)当該プロセスが補助記憶装置へとスワップアウトされましても、 CPU利用権が割り当てられ得る段階で、 空きアドレスへのスワップインが叶い得る、 という意味合いで、『再配置可能』の性質が評価されているのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する