平成21年秋期午後問4  dについて

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
受験太郎さん  
(No.1)
https://www.fe-siken.com/kakomon/21_aki/pm04.html
設問2の  d  について回答では方式1,2と書いてありますが、
チャレンジが利用者IDごとに固定されてると書いてないので利用者IDを送信するごとにチャレンジが変わると解釈して方式1のみ  にしたのですが、チャレンジレスポンスそのものが利用者IDごとにチャレンジが固定されているものなのでしょうか?
2022.05.04 15:05
y4 kさん 
FE ブロンズマイスター
(No.2)
チャレンジレスポンス方式では、解説にもある通りパスワードそのものは回線上へ流れません。

しかし、設問2の(2)では、以下の記述もあります。
>利用する端末上で,キーボード入力を読み取って,第三者に送信するプログラムが動作していた

つまり、この仕組みによってパスワードを不正取得されてしまいます。
そして、攻撃者が改めて自身の機器でログインを試みれば、サーバから攻撃者の機器へチャレンジが送られ、それと不正取得したパスワードを用いてレスポンスが返されるのでログインが可能になるのです。


2022.05.04 18:35
受験太郎さん  
(No.3)
回答ありがとうございます。
理解できました!!
2022.05.05 14:02

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop