情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

4.認証 > 4.2 知識認証

最も簡単な認証はパスワードである。
H23秋FE午前問題に、パスワードの問題がある。
これを基に、パスワードの在り方を考える。
問42  入力パスワードと登録パスワードを用いて利用者を認証する方法において、パスワードファイルへの不正アクセスによる登録パスワードの盗用防止策はどれか。
ア パスワードに対応する利用者のIDのハッシュ値を登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して参照した登録パスワードと入力パスワードを比較する。
イ パスワードをそのまま登録したファイルを圧縮しておき、認証時に復元して、入力されたパスワードと比較する。
ウ パスワードをそのまま登録しておき、認証時に入力されたパスワードと登録内容をともにハッシュ関数で変換して比較する。
エ パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。(H23秋FE午前)
まず、パスワードの仕組みを簡単に紹介する。
パスワードが正しいかを判断するときに、パスワードをそのまま比較しているわけではない。
パスワードをハッシュして保存しておき、入力されたパスワードをハッシュした値と比較することで、認証をしている。
素材3_10_パスワードの問題1


8412ebbb 


なんでそんな面倒なことをしていのですか?
パスワードをそのまま保管しておけばいいでしょう。
不正アクセスにより、パスワードを保存しているファイルを直接参照された場合、パスワードが分かってしまう。この危険があるからだ。
ハッシュしていれば、不可逆性より、元のパスワードが分かることもないから安全な方法である。よく考えられた方法だと感心する。

この問題の正解は、選択肢エである。

過去問(H28春FE午前問40)を解いてみましょう。なかなかいい問題です。
問40 Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
イ あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
ウ 新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
エ 新たにメールアドレスを人力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
  
ア、ウ:メールでは、パスワードが盗聴される可能性があります。
イ:パスワード再登録用のページは、HTTPSで暗号化通信を行えるので安全です。また、合い言葉が突破されたとしても、第三者に再登録用のページが送られることはありません。
でも、このURLが盗聴される可能性もありますよね。そこは、さきほどの合言葉が一致したページに表示する番号などを送られたURL上で入力するなどのプロセスにすれば安全性が高まります。
では、なぜ、推測困難なURLにするのでしょうか。
エ:合い言葉が突破されると、第三者に再登録用のページが送られてしまい、パスワードを自由に設定されてしまいます。
【正解】 イ

c2f058cb

パスワードは誰が管理すべきかですか・・・
誰でもいいと思います。
ようは、不正な第三者に見られなければいいので。


この点に関する過去問があるので、みてみよう。
利用者のパスワードを変更する方式には2案ある。一つは,利用者が自分で変更する方式であり,もう一つは,情報システム部が一括して変更し,それを利用者に通知する方式である。しかし,情報システム部が一括して変更し,それを利用者に通知する方式では,③情報セキュリティ対策上,望ましくないので,利用者が自分でパスワードを変更できることを要件として設定した。

設問3 本文中の下線③で,望ましくないとしている理由を, 40字以内で述べよ。(H20秋SU午後2問1)

試験センターの解答例は以下である。
特に2つ目が重要だ。
・パスワードを本人に通知する過程で漏えいするリスクかおるから
・その利用者IDを利用した者が,確実に本人であることを保証できないから
知識認証であるパスワードというのは、本人しか知りえない情報を使って認証するから、第三者が不正にアクセスすることができない。同時に、その本人がアクセスしたという大事な証拠になるのだ。
db2fc28c
なるほど!
これは、全員が同じパスワードを利用する場合も同じことが言えますね。
社内システムでは、全員が共通のIDとパスワードでログインしているものがあります。それだと、社員以外の人は使えないという秘匿性のメリットはあります。でも、誰かが不正利用したとしても、その特定ができません。

17ddb782.jpg

電話で申し込みや変更手続きをするときがあるけど、住所や電話番号を言うだけの確認だったら、他人でもできるよね?




最近はセキュリティもしっかりしていて、そうでもない。登録したメールアドレスを言う必要があったり、携帯会社だと4桁のパスワードを言う必要がある。オペレータの画面にも表示されず、オペレータは入力するだけなので、電話した人が知らなければ本当に認証されない。
それに契約変更などが行われたら必ず郵送で契約内容が送付される。これにより、第三者が不正に行った場合は判明しますね。

情報セキュリティスペシャリスト試験を目指す女性SE

これがずっと疑問だったんですよ。




セキュリティコードが違うと、購入ができない。この点もセキュリティの価値がある。ただ、カード番号と一緒で、漏れたら一緒。
この点は、PCI-DSSにてルールが定められています。カード番号と、セキュリティコードは管理レベルが違います。そして、セキュリティコードは基本的に、保存してはいけないのです。
ただ、実際にはそれが守られてない場合があるので、注意が必要です。
たとえば、チケットサイトがサイバー攻撃にあった事件において、セキュリティーコードも流出しました。日経新聞の記事では、「本来ならばカード番号などの情報はサーバーに残らない仕組みとなっていたはずが、開発会社の判断でカード情報をサーバー内に保持しており、カードの不正使用につながった。」と述べられています。
http://www.nikkei.com/article/DGXLASDG25H6K_V20C17A4CR0000/

よく使われるパスワードが以下に掲載されている。
一度見てみるといいだろう。
案外、自分で使っているパスワードが出てくるもの。
http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time

また、adobeの情報漏えい事件で発覚した、利用者のパスワードの実態が以下などの記事に書かれてある。
http://bylines.news.yahoo.co.jp/fuwaraizo/20131107-00029574/
http://www.itmedia.co.jp/news/articles/1311/06/news040.html
123456というパスワードを使っている人が、190万人(全体の1.46%)もいたということ。それ以外にもpassword
や11111など、単純なパスワードが目白押しである。

ハッキングツールには、これらのパスワードは自動で実施する仕組みになっていると思われるから、危険である。



リスクベース認証について過去問(H28秋SC午前Ⅱ問6)では、「利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う」とあります。
たとえば、いつものIPアドレスとは違うところからアクセスすると、以下のように(ゆうちょの例)、追加で質問がなされます。(通常は、このような合言葉の質問はありません。)
 
aikotoba




このページのトップヘ