AP過去問令和7年度春期午前問44

問44(問題文)

　パスワードクラックの対策のうち、ストレッチングに該当するものはどれか。

ア　あらかじめ利用者だけが知っている質問と答えをシステムに登録しておき、普段と異なる口グイン方法の場合に追加で質問を行う。

イ　ー定時間内にパスワードをー定回数誤ったとき、それ以降の口グインを試行できないようにする。

ウ　パスワードの照合のためのハツシュ値を、パスワードに対してハッシュ化を繰り返して、求める。

エ　パスワードの照合のためのハッシュ値を、パスワードに利用者 ID ごとに異なる文字を付加してからハッシュ化して、求める。

　パスワードクラックの対策として、ストレッチングに該当するものを選ぶ問題です。ストレッチングとは、パスワードのハッシュ化処理を繰り返し行い、クラック（解読）を困難にする手法を指します。これを踏まえて、各選択肢を説明します。

アは❌間違いです。あらかじめ利用者だけが知っている質問と答えをシステムに登録しておき、普段と異なる口グイン方法の場合に追加で質問を行う。

→これは「セキュリティ質問」や「二段階認証」に近い手法であり、ストレッチングとは関係ありません。パスワードクラック対策としては有効ですが、ストレッチングには該当しません。

イは❌間違いです。一定時間内にパスワードを一定回数誤ったとき、それ以降の口グインを試行できないようにする。

→これは「アカウントロック」や「ログイン試行回数制限」の手法です。パスワードクラックを防ぐための対策ですが、ストレッチングには該当しません。

ウは✅正しいです。パスワードの照合のためのハッシュ値を、パスワードに対してハッシュ化を繰り返して、求める。

→これはストレッチングに該当します。パスワードを繰り返しハッシュ化することで、計算量が増え、パスワードクラックを困難にする手法です。

エは❌間違いです。パスワードの照合のためのハッシュ値を、パスワードに利用者 ID ごとに異なる文字を付加してからハッシュ化して、求める。

→これは「ソルト」技術に該当し、パスワードを一意にするための方法です。ストレッチングとは異なりますが、パスワードクラック対策には有効です。

　したがって

ウ

　が答えです。