基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [令和元年秋午前] [令和元年秋午後]

平成18年 春期 基本情報技術者 午後 問02
問02   サーバへのログイン管理

サーバへのログイン管理に関する次の記述を読んで,設問に答えよ。

使い捨てパスワード(One-Time Password:OTP)の仕組みを応用して作られた, ログイン管理システムである。

〔ログイン管理システムの説明〕

サーバへのログイン可能回数 M と定数 K を決定し,M 個の有効な使い捨てパスワードを使用する。 残りのログイン可能回数が n のときの使い捨てパスワード。

otp(n) には,一方向性関数 hash を用いて,次式で得られる値を用いる。

(1) 使い捨てパスワード生成装置

利用者が,使い捨てパスワードをすべて記憶し,管理することは困難なので,

定数 K と残りのログイン可能回数 n から使い捨てパスワードを生成し, 表示する携帯式の使い捨てパスワード生成装置を用いる。

第 1 回目のパスワード生成時は n = M で,パスワードを生成するたびに n を 1 ずつ減らし,最後のパスワード生成時は,n = 1 となる。

(2) 利用者

利用者は,K を使い捨てパスワード生成装置に入力し,表示された使い捨てパスワードを, サーバへのログインパスワードとしてクライアント PC に入力する。

(3) サーバ

サーバは,次の二つを保持する。

@ 使い捨てパスワード生成装置と同じ一方向性関数 hash

A パスワード検査に用いるために,利用者が,直前の許可されたログインで使ったパスワード otp(n+1)

サーバでのパスワード検査は,ログイン時にクライアント PC から サーバへ送られてきた使い捨てパスワード otp(n) に,hash を 1 回適用し, hash(otp(n)) を得て,それがサーバの保持している otp(n+1) と一致するかどうかで行う。 一致すれば,サーバは,ログインを許可する。

サーバは,保持している otp(n+1) を次回の検査用に更新する必要がある。 このためには,クライアント PC から送られてきた使い捨てパスワードの値 otp(n) で 置き換えればよい。

図にログイン管理の流れを示す。 ここでは,サーバには,利用者の otp(n) を受け入れる準備として,otp(n+1) が保持されているものとする。 また,この図では,時間は上から下に向かって進むように表現されている。


        図 ログイン管理の流れ

〔図中の主な処理の説明〕

@ 利用者 ID によってサーバにログイン操作を行う。

A パスワードを要求する。

B 使い捨てパスワード otp(n) をサーバへ送る。

C 受け取った otp(n) に hash を適用し,hash(otp(n)) を得る。 利用者 ID ごとに保存していた otp(n+1) と比較する。 一致すれば,ログインを許可し,受け取った otp(n)を次回のパスワード検査用に保持する。 一致しなければ,ログインを拒否する。

設問 このログイン管理に関する次の記述中の に入れる正しい答えを,解答群の中から選べ。

利用者がパスワードとしてクライアント PC に入力する は,ネットワーク上の通信メッセージにも含まれる。 しかし, は,ログイン許可と 同時に無効なパスワードとなるので,これを盗聴してその後で使用しても, サーバにログインすることはできない。

サーバが保持する使い捨てパスワード otp(n+1) は,使用済みの無効なパスワードなので, これを不正に入手して使用しても,サーバにログインすることはできない。 また,otp(n+1) と hash を不正に入手したとしても,hash の一方向性の特徴から, これらを基に,未使用の使い捨てパスワードを得ることは極めて困難である。

このログイン管理の仕組みで,不正アクセスの危険性が大きいのは, の両方が不正に入手,使用された場合である。

このうち, は,サーバと使い捨てパスワード生成装置にある。 サーバには,セキュリティ強化のための既存の手段を講じることができるが, 使い捨てパスワード生成装置は,別の利用者も所有しているので, その不正使用及び盗難の危険性は比較的高い。

は,クライアント PC, ネットワーク上の通信メッセージ及びサーバには一時的にも存在しない情報なので, これらから盗まれる危険性はない。 また, は,利用者本人だけが知る秘密情報である。

解答群

ア hash      イ K           ウ M

エ n        オ otp(M+1)      カ otp(n)

キ 利用者 ID

解答 a ←クリックすると正解が表示されます

解答 b ←クリックすると正解が表示されます

解答 c ←クリックすると正解が表示されます


[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]