科目A問60
情報システムにおける二段階認証の例として,適切なものはどれか。
| 画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。 | |
| サーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。 | |
| 利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。 | |
| 利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ウ
解説
二段階認証は、1回目の認証に成功した後に、さらに別の手段で2回目の認証を行う方式です。たとえばID・パスワードで通過後にワンタイムパスワードやSMS認証、生体認証などを追加します。段階を分けて複数回認証することで、総当たり攻撃やパスワードリスト攻撃に対する耐性が高まります。
二要素認証は「知っている・持っている・有している」の異なる2要素を組み合わせますが、二段階認証は必ずしも要素の種類を変える必要はありません(知識要素同士でも可)。また、複数の情報を同一画面で一度に入力させる方式は、段階が分かれていないため二段階認証とはみなしません。
ゆがんだ文字の判読などのCAPTCHAは、人間と自動プログラムの判別を目的とする仕組みであり、秘密情報による本人認証ではないため、ID・パスワードと組み合わせても二段階認証には該当しません。
選択肢ウは、パスワード認証後に別の情報で追加確認を行っているため、二段階認証として適切です。
二要素認証は「知っている・持っている・有している」の異なる2要素を組み合わせますが、二段階認証は必ずしも要素の種類を変える必要はありません(知識要素同士でも可)。また、複数の情報を同一画面で一度に入力させる方式は、段階が分かれていないため二段階認証とはみなしません。
ゆがんだ文字の判読などのCAPTCHAは、人間と自動プログラムの判別を目的とする仕組みであり、秘密情報による本人認証ではないため、ID・パスワードと組み合わせても二段階認証には該当しません。
選択肢ウは、パスワード認証後に別の情報で追加確認を行っているため、二段階認証として適切です。
| ア. | 画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。 |
| CAPTCHAはボット対策であり、本人の秘密情報に基づく認証ではありません。さらに、CAPTCHA通過は「1回目の認証成功」には当たらないため、その後のID・パスワード入力と合わせても二段階認証ではありません。 | |
| イ. | サーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。 |
| 入室者だけが退室できるようにする仕組みの説明で、これはアンチパスバックに該当します。物理入退室管理の制御であり、段階を分けて本人確認を積み上げる二段階認証の例ではありません。 | |
| ウ. | 利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。 |
| ID・パスワードで認証に成功した後、秘密の質問に回答して追加の認証を行っています。1段目の認証を通過してから2段目の認証を行う形であり、二段階認証として適切です。要素の種類がどちらも知識要素であっても二段階認証に該当します。 | |
| エ. | 利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。 |
| 利用者IDの入力は認証ではなく、パスワード入力を終えるまで認証は成立していません。実質的に1回の認証であり、二段階認証には当たりません。 |