平成26年度 春期 午前 問42
パスワードを用いて利用者を認証する方法のうち、適切なものはどれか。
ア パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
イ パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。
ウ パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
エ パスワードをハッシュ値に変換して登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。
回答
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
ウ パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
ハッシュ値とは、与えられたデータに対して特定の演算(ハッシュ関数)を行い、求められた値のことを言います。
与えるデータが同じであれば、求められる値は常に同じ結果になります。
パスワードをそのまま(平文)で保持した場合、漏洩した場合の影響が大きくなります。
パスワードをハッシュ関数によりハッシュ値に変換すると言うのは、パスワードを暗号化するということになり、暗号化されたパスワードが漏洩しても、元のパスワードを推測するのは困難になり、よりセキュリティを高めることができます。
ア パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
>利用者IDのハッシュ値と、入力されたパスワードのハッシュ値を比較しても、一致しないため、パスワード認証になりません。
イ パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。
>利用者IDを比較しているので、パスワード認証になっていません。
また、利用者IDは秘密になっていない場合もあるので、ハッシュ値として登録する効果が無いと思われます。
ウ パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
>認証側でパスワードをハッシュ値として登録し、入力されたパスワードをハッシュ値に変換した上でパスワード認証を行っているので、正しいです。
エ パスワードをハッシュ値に変換して登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。
>パスワードのハッシュ値と、利用者IDのハッシュ値を比較しても、一致しないため、パスワード認証になりません。
出典:平成26年度 春期 基本情報処理技術者試験 午前 問42
コメント 0