平成28年春期試験問題 午前問40

Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。

  • あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
  • あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
  • 新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
  • 新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
パスワードを忘れたユーザーを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザーの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重に検討する必要があります。

IPAのセキュリティプログラミング講座では、パスワードの再設定・再発行手続きとして以下の手順を推奨しています。(要求されるセキュリティレベルによっては一部の手続きを簡略化可能)
  1. パスワードリマインダのWebページ上(https:)で1回限り有効なキー(短め)をユーザーに発行する。
  2. 1回限り有効な別のキー(長め)を含むURL(https:)を、ユーザーがあらかじめ登録している電子メールアドレス宛に送信する。
  3. ユーザーにそのURLのWebページにアクセスしてもらい、先ほどのキーを入力してもらう。
  4. キーが照合できたらパスワードの再設定あるいは再発行を行う。
  5. 一定回数以上照合に失敗したら 2つのキーは無効にする(ロックアウト機能)。
メールのあて先は「あらかじめ登録済みのメールアドレス」、送信する内容は「再設定ページのURL」の組合せが適切なので、正解は「イ」です。
  • 受信者のメーラーがメールの暗号化を行うS/MIMEやPGPに対応していなかったり、HTTP接続でないWebメールサービスを利用する際にはメールの内容が盗聴される恐れがあります。またパスワードが記載されたメールの取扱い方法によっては、第三者に漏れてしまう可能性も考えられます。このためパスワードそのものをメールで送ることは危険です。
  • 正しい。あらかじめ登録済みのメールアドレス宛に、一時的なパスワード再設定ページへのURLを送るのが安全な方法です。
  • 攻撃者が任意のメールアドレスを指定できてしまうため危険です。
  • 攻撃者が任意のメールアドレスを指定できてしまうため危険です。

Pagetop