ワンタイムパスワードとは認証のたびに毎回異なるパスワードを使用する
方式である。
毎回異なるパスワードを使用するため、ある時点の認証プロセスが盗聴されても
(そのパスワードは二度と使用しないため)なりすましによる不正アクセスを受ける
可能性が著しく減少するというメリットがある。
ワンタイムパスワードの実現するための方式
●チャレンジレスポンス方式の脆弱性
認証にあたってサーバの正当性を確認する仕組みがないため
正規のサーバとクライアントの通信経路上に不正なサーバが存在し
それによってセッションをハイジャックされてしまう可能性がある
これを中間者攻撃と呼ぶ。
対策
通信に先立ちディジタル証明書によってクライアントがサーバの正当性を確認する
必要がある
●トークンカード(時刻同期)方式の脆弱性
トークンを所有している人は利用者本人であるという前提のもとセキュリティが
保たれているためトークンの貸し借りを禁止する
問
セッションIDの設計において、不正なセッションIDを容易に作り出す
ことをできなくするためにセキュリティの面で留意すべきことを二つ挙げよ
解答
擬似乱数を用いて生成すること
十分な長さの文字列を生成すること
●送信者がメッセージからブロック暗号(方式)を用いて生成したメッセージ認証符号(MAC)
をメッセージとともに送り、受信者が受け取ったメッセージからMACを生成して、送られて
きたMACと一致することを確認するメッセージ認証で使用される鍵の組み合わせはどれか?
→ 送信者:受信者と共有している共通鍵
受信者:送信者と共有している共通鍵
●WEPとは?
クライアントPCとアクセスポイントとの間であらかじめ登録した共通鍵によって暗号化通信を実現する
●IEEE802.1Xとは?
セッションごとに動的に異なる暗号化鍵を用いた暗号化通信を実現する
●リスクファイナンスとは?
保険に加入するなど資金面での対策を講じリスクの移転を図る
●JIS Q 9001(品質マネジメントシステムに関する要求事項)とは?
組織が製品の品質を保証するとともに、顧客満足の向上を目指す場合の品質マネジメントシステムに
関する要求事項
※トレーサビリティーが要求される製品は、製造番号などによって固有の識別を管理して記録する
●ISO/IEC15408とは?
IT関連製品や情報処理システムのセキュリティ品質を評価するための国際規格である
対象は、個別の製品やシステムのセキュリティ機能である
