チャレンジレスポンス認証

特徴

  • チャレンジレスポンス認証は、パスワードの盗聴対策の一つで、ネットワーク上にパスワードを流さない仕組み
  • 手順
    1. サーバがクライアントの要求に対し、ランダムな値であるチャレンジコードを生成、保存し、クライアントへ送信
    2. クライアントは、パスワードとチャレンジコードからハッシュ値であるレスポンスを算出し、サーバへ送信
    3. サーバは、保持しているユーザパスワードとチャレンジからクライアントと同じ手順でレスポンスを算出、比較し、一致すれば認証成功となる
  • レスポンスの値は認証のたびに異なり、このレスポンスからパスワードを割り出すことはできない

過去問

情報処理安全確保支援士試験 令和元年度 秋期 午前1 問13

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前1 問13(一部、加工あり)】

チャレンジレスポンス認証方式に該当するものはどれか。

  1. 固定パスワードをTLSによって暗号化し、クライアントからサーバに送信する。
    →一般的な認証方式です。
  2. 端末のシリアル番号を、クライアントで秘密鍵を使って暗号化してサーバに送信する。
    →端末のシリアル番号をサーバに送信することはありません。
  3. トークンという装置が自動的に表示する、認証のたびに異なるデータをパスワードとしてサーバに送信する。
    →ワンタイムパスワード方式の一つである時刻同期方式です。
  4. 利用者が入力したパスワードと、サーバから受け取ったランダムなデータとをクライアントで演算し、その結果をサーバに送信する。
    →正解