• ベストアンサー

ワンタイムパスワードに関する質問です。

下記ページの内容の中で、 設問2の(3)の解法が分かりませんから、教えて下さい。 http://情報処理試験.jp/FE21b-pm/t04.html そもそも、不正なサーバが規定のパスワードを把握していない場合には、 たとえ利用者のIDが送信されましても、 組み合わせのパスワードが分かりませんので、 其の不正なサーバがチャレンジを作成し得ませんね。 従いまして、悪用の為に、 もし(3)の状況で不正なサーバが其のパスワードを求めるのでしたら、 『其の儘』のパスワードを盗聴せざるを得ないのでしょうから、 「チャレンジレスポンス方式」が成立しない故に、 (3)の正解がエではなく、アなのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • jjon-com
  • ベストアンサー率61% (1599/2592)
回答No.1

基本情報技術者 平成21年 秋期 午後 問4 > 組み合わせのパスワードが分かりませんので、 > 其の不正なサーバがチャレンジを作成し得ませんね。 いいえ,間違っています。 「ランダムに生成したチャレンジと呼ばれる値c」だと書いてあります。チャレンジを生成するのにパスワードは不要であり,ただランダム値を生成しさえすればそれがチャレンジの作成です。不正サーバであってもそれを易々と実現できます。 さらに不正サーバは,端末から返ってきたレスポンスを保存しておくことができます。利用者のパスワードp自体は分かりませんが,パスワードpとチャレンジcを公知の関数h()で計算した結果=レスポンスを入手することは不正サーバでもできます。これは問題文の表現では「誤接続したサーバ上で端末から送信された情報が盗まれる」にあたります。 そして問題文は「この盗んだ情報(=レスポンス)をそのまま利用することによって,サーバへの不正ログインが可能か」と問うています。 もし万が一の偶然で,正規サーバが生成したランダム値が不正サーバが生成したランダム値と同一であったとしたら,盗んだレスポンスを正規サーバに返送することで不正ログインが可能となります。パスワードp自体を知っている必要はありません。 ただ現実には,同じランダム値になることは万が一にもあり得ません。数十年に一度のレベルでもそれがあり得るのだとしたら,それはランダム値としてふさわしくないということになります。

SakuraiMisato
質問者

補足

有り難う御座います。 私の身近な環境では、PPPoEの場面で、 チャレンジレスポンスの遣り取りが実施されているのだろう、 と思われますので、それをイメージしまして此の質問文を纏めました。 つまり、ブロードバンドルータによるWAN設定の際に、 ISP業者から届きました資料の内容の通りに、 規定の個人情報(ID・PW)を其の儘の値で当該設定画面へ入力して参りましたので、たとえチャレンジが届きませんでしても、 其の儘で筒抜けになり得るのだろう、と私は考えたのですが、 其の解釈は誤りなのでしょうか? 実際に一般家庭用機器の設定で経験しやすい内容を具体例に据えられますと、私の印象に残りやすいですから、 ややこしい展開になりまして畏れ入りますが、 宜しく御願い申し上げます。

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. ビジネス・キャリア
  3. 職業・資格
  4. 情報処理技術者

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する