2022年 春期 応用情報技術者 午前 問42

パスワードクラック手法の一種である、レインボー攻撃に該当するものはどれか。

 ア  何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき、複数のシステム間で使い回されているり利用者IDとパスワードの組を狙って、ログインを試行する。
 イ  パスワードに成り得る文字列の全てを用いて、総当たりでログインを試行する。
 ウ  平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読する。
 エ  利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して、パスワードを類推する。


答え ウ


解説

 ア  何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき、複数のシステム間で使い回されている利用者IDとパスワードの組を狙って、ログインを試行するのは、パスワードリスト攻撃です。(×)
 イ  パスワードに成り得る文字列の全てを用いて、総当たりでログインを試行するのは、ブルートフォース攻撃です。(×)
 ウ  平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読するのは、レインボー攻撃です。(〇)
 エ  利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して、パスワードを類推するのは、ソーシャルエンジニアリングです。(×)


キーワード
・レインボー攻撃

キーワードの解説
  • レインボー攻撃
    ITシステムのログイン認証で使用するパスワードをITシステムはパスワードのままではなくハッシュ関数で変換したハッシュ値で管理している。
    ハッシュ値から元のパスワードを類推することはできないためハッシュ値が漏えいしても不正アクセスに使われることはない。
    レインボー攻撃はあらかじめパスワードとなりうる適当な文字列のハッシュ値を計算してテーブル化しておくき、ターゲットとなるパスワードのハッシュ値と比較し、本来のパスワードを推察して、不正アクセスに使用します。

もっと、「レインボー攻撃」について調べてみよう。

戻る 一覧へ 次へ