情報セキュリティ対策・実装技術 (全218問中59問目)
No.59
ログイン機能をもつWebサイトに対する,パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして,最も適切なものはどれか。
出典:平成31年春期 問59
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策・実装技術
正解
イ
解説
[パスワードの盗聴]
盗聴とは、通信経路上のデータを何らかの方法で傍受し、データに含まれるパスワード等の秘密情報を不正に取得する行為です。
暗号化されたパスワードは通信当事者同士のみが復号できます。よって、パスワードが暗号化されていれば、通信経路上で第三者に盗聴されたとしても元のパスワードを知られることはありません。
推測が難しい文字列をパスワードに設定しても盗聴には効果がありません。
[総当たり攻撃]
総当たり攻撃は、特定の文字数および文字種で設定可能なすべての組合せを試すことで不正ログインを試みる攻撃手法です。
この攻撃は、何万回の試行を繰り返すことが前提になっているので、対策としてはログインの試行回数に制限を設ける方法が一般的です。一定回数連続して認証に失敗した場合に一定時間アカウントを停止する措置をロックアウトといいます。
なお、シングルサインオンはユーザー認証を一度受けるだけで許可された複数のサーバへのアクセスについても認証する技術ですので、総当たり攻撃の対策とはなりません。
したがって適切な組合せは「イ」です。
盗聴とは、通信経路上のデータを何らかの方法で傍受し、データに含まれるパスワード等の秘密情報を不正に取得する行為です。
暗号化されたパスワードは通信当事者同士のみが復号できます。よって、パスワードが暗号化されていれば、通信経路上で第三者に盗聴されたとしても元のパスワードを知られることはありません。
推測が難しい文字列をパスワードに設定しても盗聴には効果がありません。
[総当たり攻撃]
総当たり攻撃は、特定の文字数および文字種で設定可能なすべての組合せを試すことで不正ログインを試みる攻撃手法です。
この攻撃は、何万回の試行を繰り返すことが前提になっているので、対策としてはログインの試行回数に制限を設ける方法が一般的です。一定回数連続して認証に失敗した場合に一定時間アカウントを停止する措置をロックアウトといいます。
なお、シングルサインオンはユーザー認証を一度受けるだけで許可された複数のサーバへのアクセスについても認証する技術ですので、総当たり攻撃の対策とはなりません。
したがって適切な組合せは「イ」です。