【解説】ユーザ認証とセキュリティ( セキュアド 平成18年 午後T問1)
→問題を見る
この設問では、認証とセキュリティのメカニズム、セキュリティを確保するための運用方法について問われています。
設問1
(1)答え:[a-イ、b-エ]
ここでは、ハッシュ値に対する正しい理解が必要になります。ハッシュ値とは一方向ハッシュ関数を使って算出された固定長のビット列をさします。ハッシュ値の特徴として元の値を逆算できないというのが大きな特徴になります。この特徴によりハッシュ化して保存することによって安全性を高めることができます。ただし認証の際に、ハッシュ値は逆算出来ないためユーザが入力したパスワードとそのまま比較することが出来なくなるので、ユーザの入力したパスワードをハッシュ化して比較する必要があります。
(2)答え:[C当該会員IDを一時的に利用停止とする、Dログイン時に前回のログイン日時を表示する]
下線Cはいわゆるロックアウト機能と呼ばれるものです。当該会員IDを一時的に停止することで、パスワード認証の試行を阻止します。ロックアウトは一定時間経過して自動的にロックを解除するのが一般的です。
下線Dの対策として、ログイン時に前回のログイン日時を表示することでユーザがなりすましが行われていないかを確認することができます。
(3)答え:[新しいパスワードを生成して登録メールアドレスに送信する]
システムで会員パスワードをハッシュ化して保存し、元のパスワードは削除しているため、使用中のパスワードをユーザに通知することは物理的に不可能です。そのためシステムが新しいパスワードを生成してハッシュ化して保存するとともにユーザ登録メールアドレスへ送信する必要があります。
設問2
答え:[本人以外の人が書面をみて初期パスワードを知ることができる]
書面による通知は確実性が高い反面、第三者に見られてしまうというリスクを伴います。ですから初期パスワードに有効期限を設けて、当該社員に対して強制的にパスワードを変更するように促します。
設問3
(1)答え:[配信不能メールによる負荷の増大]
存在しないメールアドレスや破棄されたメールアドレスが多数登録されたままになり、配信不能メールが増加してしまいます。
(2)答え:[ランダムかつ十分な長さを持つこと]
照合用の文字列は、推測されないように、ランダムかつ十分な長さをもったものでなければなりません。
(3)答え:[購読解除設定の結果を電子メールで利用者本人宛に送信する]
→問題を見る
|
|
スポンサードリンク
|