基本情報技術者 試験情報＆徹底解説 -新制度に完全対応-

初めて質問させていただきます。
設問2の（2）の解答に「チャレンジレスポンス方式では、端末に正規の利用者IDとパスワードを入力することで、認証が可能になりますが、盗聴されたレスポンスからハッシュ化前のパスワードを逆計算することは、ほぼ不可能※1ので、不正ログインはできないことになります。」とありますが、設問には「キーボード入力を読み取って，第三者に送信するプログラムが動作していた場合」とあるのでIDとパスワードの両方が盗聴したと読み取りました。なぜ、解答に"レスポンスの時点で盗聴された"と書いてあるのでしょうか？

https://www.fe-siken.com/kakomon/21_aki/pm04.html

ご質問の内容がよくわからないのですが、
>なぜ、解答に"レスポンスの時点で盗聴された"と書いてあるのでしょうか？
これはどの部分の記載のことをおっしゃっているのでしょうか。

>盗聴されたレスポンスからハッシュ化前のパスワードを逆計算することは、ほぼ不可能
これは(1)の「通信経路上での盗聴」ではハッシュ化された値(=レスポンス)しか取得できないため、不正ログインされない、ということの解説です。

>キーボード入力を読み取って，第三者に送信するプログラムが動作していた場合
これは(2)のケースですよね？
このようなプログラムを使えば、正規の利用者と同じようにIDとパスワードを入力してログインできます。

>なぜ、解答に"レスポンスの時点で盗聴された"と書いてあるのでしょうか？
"レスポンスの時点で盗聴された"という文言は問題文にも解説にもどこにも見当たらないのですが、どこを指して言っているのでしょうか？
>設問には「キーボード入力を読み取って，第三者に送信するプログラムが動作していた場合」とあるのでIDとパスワードの両方が盗聴したと読み取りました。
チャレンジレスポンス方式の場合、通信経路上にはパスワードは流れない（流れるのはパスワードをハッシュ化したレスポンス）のですが、最初に端末に入力するIDとパスワードは、キーボード入力から読み取られてしまいます。

nsさん、chihiroさん

図1,2ともにクライアント側からサーバ側に向けて「利用者IDとパスワードp入力」と書いてあるため、その時点で盗聴されると思ったのですが、解答をよく読んだら「チャレンジレスポンス方式の場合、端末とサーバ間に流れる情報は、利用者IDおよびサーバから送信されたチャレンジと利用者が入力したパスワードから計算されたハッシュ値（レスポンス）の二つです。」という前提知識が必要な問題なんですね。入力した時点ではパスワードはサーバに流れないという発想がなかったので勉強になりました。
ありがとうございました。