平成26年度 春期 午前 問42

　パスワードを用いて利用者を認証する方法のうち、適切なものはどれか。

ア　パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。

イ　パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。

ウ　パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。

エ　パスワードをハッシュ値に変換して登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。

回答
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
ウ　パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。

　ハッシュ値とは、与えられたデータに対して特定の演算（ハッシュ関数）を行い、求められた値のことを言います。
　与えるデータが同じであれば、求められる値は常に同じ結果になります。

　パスワードをそのまま（平文）で保持した場合、漏洩した場合の影響が大きくなります。
　パスワードをハッシュ関数によりハッシュ値に変換すると言うのは、パスワードを暗号化するということになり、暗号化されたパスワードが漏洩しても、元のパスワードを推測するのは困難になり、よりセキュリティを高めることができます。

ア　パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
＞利用者IDのハッシュ値と、入力されたパスワードのハッシュ値を比較しても、一致しないため、パスワード認証になりません。

イ　パスワードに対応する利用者IDのハッシュ値を登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。
＞利用者IDを比較しているので、パスワード認証になっていません。
　また、利用者IDは秘密になっていない場合もあるので、ハッシュ値として登録する効果が無いと思われます。

ウ　パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。
＞認証側でパスワードをハッシュ値として登録し、入力されたパスワードをハッシュ値に変換した上でパスワード認証を行っているので、正しいです。

エ　パスワードをハッシュ値に変換して登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して比較する。
＞パスワードのハッシュ値と、利用者IDのハッシュ値を比較しても、一致しないため、パスワード認証になりません。

出典：平成26年度 春期 基本情報処理技術者試験 午前 問42