More than 3 years have passed since last update.

チャレンジレスポンス認証方式の特徴

Posted at 2020-09-26

応用情報技術者平成28年秋期午前38

チャレンジレスポンス認証方式の特徴はどれか。

１、チャレンジレスポンス方式は、
通信経路上に固定パスワードを流さないようにすることで、盗聴によるパスワードの漏えいやリプレイアタックを防止する認証方式です。

※リプレイアタック（Replay Attack）とは、
ネットワークの盗聴者がログインシーケンス（IDやパスワードを送る手順）をそのまま記録し、後にこのシーケンスを対象サーバーに投げることです。

２、チャレンジレスポンス方式では以下の手順で認証：
・サーバは、クライアントから要求があるたびに異なる乱数値(チャレンジ)を生成して保持するとともに、クライアントへ送る。

・クライアントは、利用者が入力したパスワードと(1)でサーバから送られた"チャレンジ"から所定の方法でレスポンスを計算する。

・クライアントは、(2)で生成した"レスポンス"と利用者が入力した利用者IDをサーバに送る。

・サーバは、クライアントから受け取った利用者IDで利用者情報を検索して、取り出したパスワードと(1)で保持していた"チャレンジ"を用いてクライアントと同じ手順でレスポンスを生成する（レスポンス照合データ）。

・サーバは、"レスポンス照合データ"とクライアントから受け取った"レスポンス"を比較し、両者が一致すれば認証成功とする。

３、
・端末のシリアル番号を，クライアント側で秘密鍵を使って暗号化して送信する。
⇒端末のシリアル番号は送信しません。端末ごとに固有の番号を使用するといつも同じ認証データが使われることになるので、リプレイアタックを受ける可能性があります。

・トークンという装置が表示する毎回異なったデータを，パスワードとして送信する。
⇒時刻同期式ワンタイムパスワードの説明です。チャレンジレスポンス方式ではトークンは不要です。