------------------------------------------------------------------------   ネットワークスペシャリスト午前平成12年問36 ------------------------------------------------------------------------  S/KEY ワンタイムパスワードに関する記述のうち,適切なものはどれか。  ア クライアントは認証要求のために,サーバに対してシーケンス番号と種(Seed)   からなるチャレンジデータを送信する。  イ サーバはクライアントから送られた使い捨てパスワードと,システムに登   録されている使い捨てパスワードを演算し比較することによって,クライア   ントを認証する。  ウ 処理時間の均一化のために,ログインごとの使い捨てパスワードを求める   関数の演算回数は同じである。  エ ユーザが設定したパスワードは 1 回ごとに使い捨てるので,暗号化は行わ   ない。    ▼    ▼    ▼    ▼    ▼ 解答・解説      (宿題メールより引用)    ▼    ▼    ▼    ▼ ■解答■   ネットワークスペシャリスト午前平成12年問36  イ サーバはクライアントから送られた使い捨てパスワードと,システムに登   録されている使い捨てパスワードを演算し比較することによって,クライア   ントを認証する。 >  下のような説明をみつけました。 > >  ワンタイムパスワードの概要 >  1.例えばユーザが暗号化を99回繰り返した暗号化パスワードを用意したとしま >    す。 >  2.サーバ側では同様に100回計算された暗号化パスワードが保存されています。 >  3.ユーザはこの99回暗号化されたパスワードをサーバに送信します。 >  4.サーバはこれを受け取ったのち、更にもう一度暗号化することでパスワード >    の認証を行います。 >  5.認証が無事成立しログインが行われるとサーバは先程の100回暗号化された >    暗号化パスワードを削除し、代りにユーザから渡された99回暗号化されたパ >    スワードを保存します。 >  6.このためパスワードは一度しか使うことができません。 >  7.次回ユーザがログインするときは暗号化を98回行ってサーバに渡します。 >  8.このような行程を行うことにより、サーバには毎回異なる暗号化パスワード >   が保存されるため、セキュリティの向上を果たすことができます。    どうもありがとうございました。どちらを参考にされたか,出展を明記して 下さい。 >  PC内の時間やカウンタ値によって、一度限りしか使えないパスワードを > 生成することを可能にした認証方法。(中略) >  ワンタイムパスワードは、使い捨てのパスワードを生成する「トークン」と、 > 認証を行う認証サーバから構成される。認証方式は、 > 乱数を使用する「チャレンジ&レスポンス方式」とトークンと認証サーバが > 生成前のカウンタなどのデータを同期させる同期方式がある。いずれにせよ > パスワードを盗まれても、同じパスワードでは二度とアクセスできないため、 > セキュリティ強度は高い。主にダイヤルアップ接続でのユーザー認証に > PAPと併用して用いられる。 > (アスキーデジタル用語辞典より) > http://www.ascii.co.jp/ghelp/76/007669.html  どうもありがとうございました。 ------------------------------------------------------------------------ > >システムに問う良くされている > ”システムに登録されている” > の誤りでしょうか? (^^;  申し訳ありません。すでに修正させてもらいました。 > (ア)チャレンジデータを送信するのは,サーバーで,クライアントではない.  どうもありがとうございました。 > 考えたこと・調べたこと・質問 > ア:チャレンジデータはチャレンジ・レスポンス方式で使用するのでX > ウ:?わかりません > エ:暗号化は行うのでは? > > こちらを参考にしました。 > http://www.unisys.co.jp/tec_info/tr54/5409.htm  どうもありがとうございました。 > ワンタイムパスワード > >  利用者の認証のために使うパスワードを毎回変更する方式。 > あらかじめ定められたクライアントとサーバで同じパスワード > 生成ルーチンを走らせ,双方パスワードが一致すればログイン > を許可する。これにより,部外者がパスワードを盗んで不正 > アクセスすることを防止できる。 > > 学研付録「情報通信ネットワーク用語辞典」P.208より  どうもありがとうございました。 > ワンタイムパスワード(OneTime Password): > http://www.ascii.co.jp/ghelp/76/007669.html  どうもありがとうございました。 > S/KEY ワンタイムパスワード(OTP) > 利用者認証システム。パスワードシステムにおいて、利用者は、利用者IDおよ > び対応するパスワードを知っていることをシステムに提示することで、ログイ > ン権限をもつ正当な利用者であると認められる。 > http://www.intap.or.jp/oiia/cont1/p0302.html{0recid=10130.html > > 以下のアドレスは、S/KEYの標準化文書(RCC1760)の非公式日本語訳のようです。 > http://www.ne.jp/asahi/earth/stomomi/RFC/rfc1760-ja.txt > > これは、今回のNSPの午前問題で見たような(そして間違えたような) > 気がします。パスワード絡みのセキュリティについては、今月号の日経ネ > ットワークでもわかりやすく解説されていました。  どうもありがとうございました。 > ●OTP (ワンタイムパスワード) 【One Time Password】 > 別名 : [使い捨てパスワード] > 遠隔地にある端末からネットワークを通じてサーバコンピュータを利用する > (リモートアクセス)際に、アクセスしてくる人間が正規のユーザかどうかを > 検証する認証技術のひとつ。 > ユーザ名と対応するパスワードを送信する通常の認証方式では、 > 端末からサーバまでの通信経路上でパスワードが「盗み聞き」されてしまう > 可能性があるという弱点がある。 > OTPでは、まずサーバが端末に認証文字列の「種」となるランダムな文字列 > (「チャレンジ」と呼ばれる)を送信する。 > ユーザは自分しか知らない秘密のパスワードを端末に入力する。 > 端末に備えられたソフトウェアがサーバから送られてきたチャレンジ文字列と > ユーザが入力したパスワードを一定の手順に従って演算し、 > 生成された結果(「レスポンス」と呼ばれる)をサーバに送信する。 > サーバでは受け取った文字列を検証し、正規のユーザかどうかを調べる。 > チャレンジは毎回異なる文字列になるように設定されており、 > ユーザが申告したパスワードも毎回異なった文字列としてサーバに送信される。 > このため、万が一通信経路上でサーバと端末のやり取りを盗み聞きされても、 > 同じパスワードは二度と使えないため、サーバが不正使用されることはない。 > OTPを実現するソフトウェアとしては、 > フリーソフトウェアのS/KEYやOPIE、Security Dynamics社のSecurIDなどがある。 > http://www.e-words.ne.jp/view.asp?ID=1531  どうもありがとうございました。 > http://www4.nikkeibp.co.jp/CSG/wordindex/1time_ps.htmより > ワンタイム・パスワード > リモート・アクセスのユーザー認証技術の1つ。遠隔地のユーザーがアクセスする > 度にランダムなパスワードを生成し,そのパスワードによってユーザー認証を実行 > する仕組み。アクセスする度にパスワードが変わるため,万一パスワードが盗聴 > されてもそのパスワードが以後通ってしまう危険がない。 > 米ベルコアのS/Key(フリーソフト)などのシステムがある。  どうもありがとうございました。 ------------------------------------------------------------------------