■チャレンジレスポンス方式って何?
・認証プロセスいおいて「シード(Seed)」と呼ばれる固定パスワードそのものをネット
ワーク中に流さないようにすることで盗聴によってパスワードが盗まれるのを防ぐ方式
・利用者が入力したパスワードと、サーバから送られたランダムなデータを使ってクライ
アント側で演算し、その結果を用いる認証方式
・CHAPやWEP、SMTP-AUTHなど、様々な認証プロトコルで利用されている
■チャレンジレスポンス方式の仕組み
1.サーバが「チャレンジ」と呼ばれる乱数文字列をクライアントへ送る
2.クライアントは「チャレンジ」と、保存してある自身のパスワード「シード」を
組み合わせたものをハッシュ関数に通して出力した文字列(レスポンス)をサーバ
に返す
3.サーバは、あらかじめ登録されているクライアントのパスワードを用いて同様の計算
を行う。計算結果からクライアントから返されたレスポンスとを比較しユーザ認証を
行う
■チャレンジレスポンス方式の利点
・パスワードそのものがネットワーク中に流れない
・ハッシュ関数利用による一方向性の為、チャレンジレスポンスが盗聴されても、パス
ワード(Seed)を求めるのは困難
・チャレンジの内容が毎回変わる為、リプレイアタックされる可能性が低い
・セッションハイジャックやなりすまし行為を防止できる
■チャレンジレスポンス方式の脆弱性
・安易なパスワードを設定している場合、盗聴されたチャレンジとレスポンスを
もとに、オフラインパスワードクラックが行われることによって、パスワード
が解析されてしまう可能性がある
・CHAPには認証サーバの信頼性を確認する仕組みが無いため、偽の認証サーバ
によってセッションハイジャックが行われる可能性がある
0コメント