令和7年春期試験問題 午前問44
問44解説へ
パスワードクラックの対策のうち,ストレッチングに該当するものはどれか。
- あらかじめ利用者だけが知っている質問と答えをシステムに登録しておき,普段と異なるログイン方法の場合に追加で質問を行う。
- 一定時間内にパスワードを一定回数誤ったとき,それ以降のログインを試行できないようにする。
- パスワードの照合のためのハッシュ値を,パスワードに対してハッシュ化を繰り返して,求める。
- パスワードの照合のためのハッシュ値を,パスワードに利用者IDごとに異なる文字列を付加してからハッシュ化して,求める。
正解 ウ問題へ
広告
解説
ストレッチングは、パスワードのハッシュ化を1回で終わらせず、元データに対して数千~数万回のハッシュ計算を繰り返すことで、パスワードの保護を強化する手法です。主にレインボー攻撃などのオフラインで行われるパスワードクラックへの対策として実施されます。
ハッシュ関数の一方向性によりハッシュ値から元データを復元することは困難です。しかし、多数の試行が可能なオフライン攻撃では、いつかは同じハッシュ値を出力する元データが特定されてしまうという問題があります。ストレッチングは、元データにたどり着くために必要な計算量を大幅に増加させることができ、これにより現実的な時間内でパスワードクラックが成功するのを困難にします。仮に1つのハッシュ値を解析するために必要な時間が10時間だとすると、1万回のハッシュ化を行っている場合、解析までにかかる時間は10万時間(約11年)となります。
したがって「ウ」の記述が適切です。
ハッシュ関数の一方向性によりハッシュ値から元データを復元することは困難です。しかし、多数の試行が可能なオフライン攻撃では、いつかは同じハッシュ値を出力する元データが特定されてしまうという問題があります。ストレッチングは、元データにたどり着くために必要な計算量を大幅に増加させることができ、これにより現実的な時間内でパスワードクラックが成功するのを困難にします。仮に1つのハッシュ値を解析するために必要な時間が10時間だとすると、1万回のハッシュ化を行っている場合、解析までにかかる時間は10万時間(約11年)となります。
したがって「ウ」の記述が適切です。
- 秘密の質問とリスクベース認証の説明です。
- ロックアウトの説明です。
- 正しい。ストレッチングの説明です。
- ソルトの説明です。
広告