読者です 読者をやめる 読者になる 読者になる

情報セキュリティスペシャリスト受験ノート

情報セキュリティスペシャリストの試験勉強用のノートです。

SNSのセキュリティに関する問題

01.認証とアクセスコントロール

【H27秋AP午後問1】

 

1.SNSサイトへの不正ログイン

ログインを試みるアクセスあり。パスワードは氏名と生年月日を組み合わせたものだった

⇒ 『類推攻撃』

⇒ 『パスワードリスト攻撃』に備え、他のサービスについても同一のパスワードを使用している場合は変更してもらう

 

2.不正ログインの足がかりとなった情報

会員登録(アカウント名、パスワード、電子メールアドレス、ニックネーム、プロフィール情報を登録)のうち、

⇒ プロフィール情報、ニックネーム、アカウント名

 

3.Cookieによる認証は何を認証するものか

⇒ Webブラウザ

 

4.不正ログイン対策

悪意を持った第三者がSNSサイトにログインできないように、アカウント名とパスワードによる認証に加え、Cookieによる認証を追加する。

  1. ユーザ(Webブラウザ)にて会員登録(アカウント名、パスワード、電子メールアドレス、ニックネーム、プロフィール情報を登録)する。
  2. Cookie発行機能のURLが記載された電子メールがユーザに送信される(1時間のみ有効)。
  3. ユーザはメールソフトでメールを受信、メール内のURLからCookie発行機能にWebブラウザを用いてアクセスする(会員情報として入力された電子メールアドレスの有効性を確認できる)。
  4. ユーザがアカウント名とパスワードを入力して認証を完了すると、ログイン用Cookieが発行される(半年間有効。ログインするたびに有効期間が半年更新される)。
  5. ログインする時はアカウント名、パスワード、ログイン用Cookieがログイン機能に送信される。
  6. ログイン機能では送信されたログイン用Cookieがその会員に発行されたログイン用Cookieか確認し、異なる場合はログインを拒否する
  7. 通信は暗号化し、悪意を持った第三者が盗聴できないようにする。