2023年 春期 情報処理安全確保支援士 午前 問2

Pass the Hash攻撃はどれか。

 ア  パスワードのハッシュ値から導出された平文パスワードを使ってログインする。
 イ  パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。
 ウ  パスワードを固定し、利用者IDの文字列のハッシュ化を繰り返しながら様々な利用者IDを試してログインする。
 エ  ハッシュ化されずに保存されている平文パスワードを使ってログインする。


答え イ


解説
通常、パスワードはサーバ内ではそのままの平文で格納するのではなく、ハッシュ値を算出してハッシュ値で格納されています。
ログイン認証時には入力されたパスワード(平文)からハッシュ値を求め、サーバ内に格納されたパスワードのハッシュ値を比較して認証を行います。
Pass the Hash攻撃は、サーバのパスワードのハッシュ値だけでログインできる仕組みを悪用してログインします。(イ)


キーワード
・Pass the Hash攻撃

キーワードの解説
  • Pass the Hash攻撃
    認証時に使用されるパスワードのハッシュ情報を不正に取得し、そのハッシュ情報を使用して認証を行い不正にログインする、なりすまし攻撃です。

もっと、「Pass the Hash攻撃」について調べてみよう。

戻る 一覧へ 次へ