平成29年度 秋期 ITパスポート試験 公開問題 問97 解説 マトリクス認証

この問題は、提示された認証方式が「ワンタイムパスワード」の性質を持っていることを見抜けば正解できます。マトリクス表の数字は認証のたびにランダムに入れ替わるため、たとえ今回入力した数字が他人に知られても、その数字は次回以降の認証では無効となり、なりすましを防ぐことができるという仕組みです。

マトリクス認証（マトリクス・パスワード）の仕組み この方式では、利用者が覚えるのは「パスワードそのもの（数字の列）」ではなく、「どの位置にある数字を使うか」という情報です。例えば「1行目の1列目、3行目の2列目...」という位置情報を記憶しておきます。 画面に表示される表の中身は認証のたびに変わるため、入力すべき数値も毎回変化します。このように、一度限りのパスワードで認証を行う仕組みをワンタイムパスワードと呼びます。

選択肢の吟味 ア: 位置や順序は秘密情報です。定期的に変更しなければ、固定された情報を推測されるリスクがあるため不適切です。 イ: 位置や順序は本人確認の要となる認証情報です。これを他人に教えることはセキュリティの観点から非常に危険であり、決して安全ではありません。 ウ: 前述の通り、入力値が毎回変わるため、過去の通信を傍受してパスワードを盗んでも、それは二度と使えません。したがってなりすましの防止に非常に有効です。 エ: バイオメトリクス認証とは指紋や虹彩、顔などの生体情報を用いた認証を指します。マトリクス表を用いる方法は知識ベースの認証であり、バイオメトリクス認証には含まれません。

試験での活用ポイント ITパスポート試験では、認証技術の「知識」「所持」「生体」という3つの要素を区別することが頻出です。

知識ベース: パスワードやPINなど、本人が知っていること 所持ベース: ICカード、ワンタイムパスワード生成機（トークン）、スマートフォンなど、本人が持っているもの 生体ベース: 指紋、静脈、顔など、本人の身体的特徴

今回のマトリクス認証は、表の位置を記憶するという点で知識ベースの側面がありますが、変化する数字を利用する手法としてワンタイムパスワードの一種とみなされます。この「盗聴されても無効である」というメリットは、ワンタイムパスワードに関連する問題全般で共通する考え方なので、ぜひ押さえておいてください。

マトリクス認証 ワンタイムパスワードとは？仕組みやメリット・デメリットをわかりやすく解説 IPA 情報セキュリティ安心相談窓口 - パスワードの管理