Security Basis

　セキュリティに関する事柄は、正確な内容を要求されますし、難しいので書くのがためらわれるのですが、ニュースの内容を理解するための背景知識はどうしても必要なので、あえてまとめてみたいと思います。
　間違いや勘違いがある可能性がとても高いことに注意してください。また、なにかミスを見つけた場合にはご連絡頂けると幸いです。

[Latest News] [Backlog Index]

authentication(認証)

challenge＆response: 　challenge＆responseは、認証方式としてとてもよく使われる方法です。
　その仕組みですが、まずサーバー上でchallengeと呼ばれる乱数などの適当な値や文字列を生成してクライアントに送信します。クライアント側は、受信したchallengeとユーザーが入力したパスワードから、ハッシュ関数を用いて応答(response)を生成してサーバーに送信します。サーバー側では、記録されているパスワードと送信したchallengeから同じ計算を行い、その結果と送られてきた内容が一致した場合に、認証が成功したとみなすのです。
　この方法では、challengeとresponseを入手してもパスワードがないと逆算することができないので、毎回違うchallengeを用いる限りパスワードを全検索する以外には他人が認証を突破することはできません。
　なお、challengeとresponseを入手すれば、適当なパスワードに対して正しいか否かを、サーバーにアクセスしなくても判定できます。そのため、推測できるようなパスワードを手元で全検索して正解を探すことは可能であり、これが行なわれていることをユーザーが検知することも不可能です。これに対する対策は、推測できないようなパスワードを使い定期的に変更することしかありません。

[Latest News] [Backlog Index]

このページはSecurity Information Project Teamによって運営されています。
リンクに関しては当然自由に行っていただいて構いません。
但し、コンテンツの著作権はSecurity Information Project TeamおよびWebページ担当者であるLefに帰属します。
Copyright (C) 1998-1999 Security Information Project Team and Lef. All rights reserved.