【H27秋AP午後問1】

１．SNSサイトへの不正ログイン

ログインを試みるアクセスあり。パスワードは氏名と生年月日を組み合わせたものだった

⇒　『類推攻撃』

⇒　『パスワードリスト攻撃』に備え、他のサービスについても同一のパスワードを使用している場合は変更してもらう

２．不正ログインの足がかりとなった情報

会員登録（アカウント名、パスワード、電子メールアドレス、ニックネーム、プロフィール情報を登録）のうち、

⇒　プロフィール情報、ニックネーム、アカウント名

３．Cookieによる認証は何を認証するものか

⇒　Webブラウザ

４．不正ログイン対策

悪意を持った第三者がSNSサイトにログインできないように、アカウント名とパスワードによる認証に加え、Cookieによる認証を追加する。

1. ユーザ（Webブラウザ）にて会員登録（アカウント名、パスワード、電子メールアドレス、ニックネーム、プロフィール情報を登録）する。
2. Cookie発行機能のURLが記載された電子メールがユーザに送信される（1時間のみ有効）。
3. ユーザはメールソフトでメールを受信、メール内のURLからCookie発行機能にWebブラウザを用いてアクセスする（会員情報として入力された電子メールアドレスの有効性を確認できる）。
4. ユーザがアカウント名とパスワードを入力して認証を完了すると、ログイン用Cookieが発行される（半年間有効。ログインするたびに有効期間が半年更新される）。
5. ログインする時はアカウント名、パスワード、ログイン用Cookieがログイン機能に送信される。
6. ログイン機能では送信されたログイン用Cookieがその会員に発行されたログイン用Cookieか確認し、異なる場合はログインを拒否する。
7. 通信は暗号化し、悪意を持った第三者が盗聴できないようにする。