チャレンジレスポンス認証
チャレンジレスポンス認証が、パスワードそのものをネットワーク上に流さずに本人確認できる仕組みとして、正しい説明はどれか。
解説を見る
サーバは毎回異なる乱数(チャレンジ)を送信する。利用者はチャレンジとパスワード(やその派生値)からハッシュを計算してレスポンスを返し、サーバも同じ計算をして一致を確認する。パスワードそのものは流れず、乱数が毎回変わるため盗聴・再送攻撃にも強い。
誤答の解説
B暗号化して送る方式でも、鍵管理次第でパスワード相当が流れる。チャレンジ(毎回変わる乱数)を使う点が本質。
C固定値を毎回そのまま送ると、盗聴した値をそのまま再送(リプレイ)されてしまう。
Dパスワードを平文で送る時点で盗聴に無防備。チャレンジレスポンスの主旨に反する。
ヒント
・毎回変わる乱数を混ぜてハッシュ化する点がポイント。
・同じ応答を再送されても通らない仕組みかを考える。