「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後2/問1設問2-1」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* 設問2 [セキュリティ仕様の決定]について、(1)~(4)に答えよ。
(1) 表5中の【d】に入れる適切な字句を30字以内で述べよ。
>公式解答例:当該アカウントの認証時に待ち時間を挿入する。(22文字)
>管理人解答:該当顧客の認証を一時的に停止する。(17文字)
* 解説
本文抜粋
>|機能|仕様|リスクNo. 1)|
>|顧客の認証|・顧客の認証用パスワード設定時に、次の条件を強制する。&br() - 長さ:8文字以上&br() - 文字種:英字、数字、記号の3種類全てを含む。&br() - 別途指定する禁止文字列を含まない。&br()・パスワードの入力を所定回数連続して誤った場合&color(red){【 d 】}|1, 4|
この問題は、顧客の認証機能において、パスワードの入力を所定回数連続して誤った場合「どうすべきか」を問われています。
パスワードの入力を連続して~と来たら、ブルートフォースアタック(総当り攻撃)、辞書攻撃を想定していると思ってよいでしょう。
総当り攻撃、辞書攻撃は、認証が成功するまで何度も何度もパスワードを入力し続ける攻撃なので、連続でパスワードを間違ったら数分~数時間、そのアカウントの認証を停止することで、攻撃の成功率を激しく下げることが可能になります。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後2/問1#設問]]
* 設問2 [セキュリティ仕様の決定]について、(1)~(4)に答えよ。
(1) 表5中の【d】に入れる適切な字句を30字以内で述べよ。
>公式解答例:当該アカウントの認証時に待ち時間を挿入する。(22文字)
>管理人解答:該当顧客の認証を一時的に停止する。(17文字)
* 解説
本文抜粋
>|機能|仕様|リスクNo. 1)|
>|顧客の認証|・顧客の認証用パスワード設定時に、次の条件を強制する。&br() - 長さ:8文字以上&br() - 文字種:英字、数字、記号の3種類全てを含む。&br() - 別途指定する禁止文字列を含まない。&br()・パスワードの入力を所定回数連続して誤った場合&color(red){【 d 】}|1, 4|
この問題は、顧客の認証機能において、パスワードの入力を所定回数連続して誤った場合「どうすべきか」を問われています。
パスワードの入力を連続して~と来たら、ブルートフォースアタック(総当り攻撃)、辞書攻撃を想定していると思ってよいでしょう。
総当り攻撃、辞書攻撃は、認証が成功するまで何度も何度もパスワードを入力し続ける攻撃なので、連続でパスワードを間違ったら数分~数時間、そのアカウントの認証を停止することで、攻撃の成功率を激しく下げることが可能になります。
認証を「一時的に」停止するのは重要なポイントです。永久停止にしてしまうと「Webサイト利用者が本当に間違えた」時に、電話やメールによる対応などが必要になるため注意してください。
公式解答例は「当該アカウントの認証時に待ち時間を挿入する。(22文字)」です。「一時的に停止」ではなく「待ち時間」はその解答もあったか!と膝を叩いてしまいました。管理人解答の「該当顧客の認証を一時的に停止する。(17文字)」は、本文中に「アカウント」が見当たらなくて、使わないほうがいいかと余計な気を揉んでこんな表現になってしまいました。
管理人の解答は、本文中にアカウント
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後2/問1#設問]]
