- 【SC】情報処理安全確保支援士試験 Part161
210 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 09:36:34.38 ID:nJOfLjmEd - レインボーアタックへの対策だからイだよ
平文のパスワードにsalt付けてハッシュ化するだけ
平文のパスワードが脆弱だと、ハッシュ化しても公開されてるリストで逆引きできちゃうから
パスワードpassw0rdのハッシュなんて普通に出回ってるからね
平文のパスワードに複雑なsalt付けてハッシュ化すれば、元のパスワード分からないでしょ
そしてデータ定義はかえないと問題の指示
パスワードに256文字入ったあとにsaltを付けると字数オーバー
だからオも正しそうでダメ
そもそもアなんて、皆同じsalt付けてるのバレバレだからsaltが意味をなしてない
|
- 【SC】情報処理安全確保支援士試験 Part161
211 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 09:37:22.72 ID:nJOfLjmEd - 「パスワード」が抜けている解答が多いですね。
ハッシュ化されているからセーフとでも思ったのでしょうか。
「パスワード」は重要情報に該当し、重要情報にはアクセスしてはならないとあります。
素直に読めば、「パスワード」はアクセスしてはならないと読めますよね?
百歩譲って、ハッシュ化されていればセーフだとしても、
修正前のプログラムに対する指摘事項なので、
パスワードがハッシュ化されていない可能性があることも考慮すると、
やはりアクセスしてはならないとしか読めないです。
全て書け系は完答で点数が得られます。
この問題は4点✕2から6点✕2までの可能性があり、
「パスワード」が抜けた方々は、8点から12点までの失点です。
不合格の大きな一歩を踏み出したと言えるでしょう。
|
- 【SC】情報処理安全確保支援士試験 Part161
214 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 10:04:25.96 ID:nJOfLjmEd - https://it-trend.jp/encryption/article/64-0068
ハッシュ値から元のデータを割り出す方法がないわけではありません。そのため、第三者に元のデータを知られるおそれがあります。そのリスクに備えて、ハッシュ値の強度を高めるために付加されるのがソルトです。
ソルトはハッシュ化前のパスワードに付加する文字列で、これによって不正な復号を困難にします。
ソルトはハッシュ化前のパスワードに付加する文字列で、これによって不正な復号を困難にします
ハッシュ化後にとってつけるものではない
|
- 【SC】情報処理安全確保支援士試験 Part161
215 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 10:08:35.66 ID:nJOfLjmEd - そもそもハッシュ化したやつにsaltくっつけるやり方したら、文字数的な問題で
先頭と末尾の何桁かがsaltか疑うね
ランダムな文字列だろうと、桁数が分かってしまうのは危険
|
- 【SC】情報処理安全確保支援士試験 Part161
216 :名無し検定1級さん (スップ Sd9e-lZfw)[]:2024/04/22(月) 10:12:49.24 ID:nJOfLjmEd - 攻撃者
わざとpassw0rdのような舐めたパスワードで登録
ハッシュ化したものは持っている
salt+(パスワードのハッシュ化)できたものを入手できたとする
文字列比較して、(パスワードのハッシュ化)部分が分かるので、残りがSALT
以降は攻撃者はSALTを除外した文字列
つまり(パスワードのハッシュ化)したものでレインボー攻撃できちゃう
これはいけない
よって、ハッシュ化したものにsaltをつけるのは非常にナンセンスであり死に値する
|
- 【SC】情報処理安全確保支援士試験 Part161
223 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 11:57:06.15 ID:nJOfLjmEd - アはレインボー攻撃に成功しちゃうからダメでは?
|
- 【SC】情報処理安全確保支援士試験 Part161
229 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 12:24:55.88 ID:nJOfLjmEd - レインボー攻撃への対策でsalt使うってなったら、
基本的にイなんだよ
アだと、桁数が増えた分がsaltだとバレたら終わり
ユーザごとにsaltは異なるようだが、
同じユーザであればsaltは変わらんようにも見える
パスワード変更を試し、ハッシュ化後の文字列見比べて、同じ部分がsaltと見分けられちゃうね
|
- 【SC】情報処理安全確保支援士試験 Part161
253 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 15:03:45.88 ID:nJOfLjmEd - それな
桁数上限は十分余力がある前提やろか?
|
- 【SC】情報処理安全確保支援士試験 Part161
279 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 21:01:53.75 ID:nJOfLjmEd - アが答えなのか絶句
もう終わりだよこの試験
データ定義うんぬんのとこは桁数変えないという意味だと思ったわ
上限桁数設けてたら長くなるからダメだと思ってイにしたんや
しかもナマsaltを見せびらかせずにすむしね
大体ナマsaltを保持するクソ設計にするなや
あーちんぽ
|
- 【SC】情報処理安全確保支援士試験 Part161
280 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 21:03:18.77 ID:nJOfLjmEd - そうそうちんぽと言えば、俺午前2が満点だったんや
7分でな
ここは褒めてくれ誰か
|
- 【SC】情報処理安全確保支援士試験 Part161
283 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 21:09:40.36 ID:nJOfLjmEd - >>281
大事なsaltを晒すのが正解の問題なんか作るなや
桁数の問題は完全にクリアだと思ってない
ワンチャン不適切問題で全員不正解になるように調整したいレベル
死なば諸共
|
- 【SC】情報処理安全確保支援士試験 Part161
284 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 21:12:41.25 ID:nJOfLjmEd - あと項目列挙する問題
あれパスワードも入れるであってるよな?
禁止リストに入ってるけど、まさかこれにも罠あるの?
問4が30点いけるかどうかで、ワンチャンかノーチャンか分岐なんや
問1が20点、下駄10点で救われたい、救いはないのdrすか
|
- 【SC】情報処理安全確保支援士試験 Part161
286 :名無し検定1級さん (スップ Sd9e-lZfw)[sage]:2024/04/22(月) 21:43:59.88 ID:nJOfLjmEd - 意地くそ悪くて草
ただ幸いだったのが、大半の人がイやオだったので、そこまで大きなハンデにならないこと
|