FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
A社の会員サイトでは,会員のパスワードをデータベースに平文(そのままの文字列)で保存している。万一データベースの内容が漏えいした場合,全会員のパスワードがそのまま知られ,他サービスでの使い回しによる被害も懸念される。Bさんはパスワードの保管方法を改善することにした。
改善方法として,最も適切なものはどれか。
- ア パスワードを会員ごとに異なる色のラベルで管理する。
- イ パスワードを単純なビット反転で変換してから保存する。
- ウ 会員ごとに異なるソルトを付与し,パスワードハッシュ用の関数でハッシュ化して保存する。
- エ パスワードをそのまま保存し,データベースの表名を秘密にする。
- オ パスワードの先頭2文字だけを保存する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:会員ごとに異なるソルトを付与し,パスワードハッシュ用の関数でハッシュ化して保存する。
正解:ウ
状況の整理:平文保存は,漏えい=全パスワード露出を意味する。元に戻せない形で保存し,かつ同じパスワードでも違うハッシュ値になるようにするのが望ましい。
なぜウか:ソルト(利用者ごとの追加値)を加えてハッシュ化すれば,元のパスワードを復元できず,同一パスワードでも保存値が異なるため,まとめて解読されにくい。パスワード保管の定石。
誤答の理由:ア(色ラベル)は無関係。イ(ビット反転)は容易に元へ戻せるので保護にならない。エ(平文+表名秘匿)は隠蔽だけで漏えい時に無力。オ(先頭2文字)は認証として機能せず論外。
読み解きのコツ:パスワード保管は「ソルト+ハッシュ」が鉄則。可逆な変換や隠蔽は誤り。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。