午前問59
ログイン機能をもつWebサイトに対する、パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして、最も適切なものはどれか。
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
盗聴は通信経路でデータを傍受してパスワードなどを得ようとする行為です。対策は暗号化された通信(例:TLS/HTTPS)でパスワードを送信することです。これにより第三者は内容を復号できません。パスワードを複雑にしても盗聴対策にはなりません。
総当たり攻撃は取り得るすべての組合せを多数回試す手法です。対策は入力試行回数の制限で、一定回数失敗で一定時間停止するロックアウトが有効です。シングルサインオンは認証を一度で済ませる仕組みであり、総当たり攻撃の対策にはなりません。以上より適切な組合せは「イ」です。
総当たり攻撃は取り得るすべての組合せを多数回試す手法です。対策は入力試行回数の制限で、一定回数失敗で一定時間停止するロックアウトが有効です。シングルサインオンは認証を一度で済ませる仕組みであり、総当たり攻撃の対策にはなりません。以上より適切な組合せは「イ」です。
| ア. | |
| 盗聴対策は「暗号化された通信でパスワードを送信する」で適切ですが、総当たり攻撃に「シングルサインオンを利用する」は不適切です。 | |
| イ. | |
| 盗聴対策として「暗号化された通信で送信する」、総当たり攻撃対策として「パスワードの入力試行回数を制限する」の双方が適切です。正解です。 | |
| ウ. | |
| 盗聴対策として「推測が難しい文字列を設定」は効果がありません。加えて総当たり攻撃に「シングルサインオン」は不適切です。 | |
| エ. | |
| 総当たり攻撃に「入力試行回数を制限する」は適切ですが、盗聴対策として「推測が難しい文字列を設定」は不適切です。 |