情報セキュリティ講座(59)　パスワード認証①　チャレンジレスポンス方式

クライアントを認証する方式として、代表的なのが、パスワード認証です。パスワードも、その都度サーバに送ると、盗まれてしまうリスクがあります。パスワードを暗号化して送っても、暗号化したパスワードを使って、突破されるリスクがあります。

これを防ぐために、チャレンジレスポンス方式があります。

1. サーバは、クライアントにチャレンジコードを送ります。

2. クライアントは受け取ったチャレンジカードとパスワードをハッシュ化(a)して、サーバに返します。

3. サーバは、保管しているパスワードとチャレンジコードでハッシュ化(b)します。

4. ハッシュ値(a)とハッシュ値(b)が一致すれば、クライアントが入力したパスワードが正しいものと判断することができます。

パスワードは、最も基本的なクライアント認証方式なので、漏洩しないように細心の注意が必要です。