応用情報技術者 試験情報＆徹底解説

チャレンジレスポンス方式は、通信経路上に固定パスワードを流さないようにすることで盗聴によるパスワードの漏えいを防ぐことができる認証方式です。

チャレンジレスポンス方式では以下の手順で認証を行います。

• サーバはクライアントから要求があるたびに異なる予測困難な値(チャレンジ)を生成して保持するとともに、クライアントへ送る。
• クライアントは利用者が入力したパスワードのメッセージダイジェストを計算し、(1)でサーバから送られた"チャレンジ"と合わせたものから、さらに、メッセージダイジェスト(レスポンス)を計算する。
• クライアントは(2)で生成した"レスポンス"と利用者が入力した利用者IDをサーバに送る。
• サーバは、クライアントから受け取った利用者IDで利用者情報を検索して、取り出したパスワードのメッセージダイジェストと(1)で保持していた"チャレンジ"を合わせたものから、メッセージダイジェストを計算する(レスポンス照合データ)。
• サーバは"レスポンス照合データ"とクライアントから受け取った"レスポンス"を比較する。

• チャレンジレスポンス方式では、固定パスワードとサーバから送信された乱数(チャレンジ)を組合わせたものをハッシュ化してサーバに返信します。
• 端末のシリアル番号は送信しません。
• 時刻同期式ワンタイムパスワードの説明です。
• 正しい。