応用情報技術者試験令和7年春午前問44 解説付き過去問

問題

パスワードクラックの対策のうち、ストレッチングに該当するものはどれか。

あらかじめ利用者だけが知っている質問と答えをシステムに登録しておき、普段と異なるログイン方法の場合に追加で質問を行う。

一定時間内にパスワードを一定回数誤ったとき、それ以降のログインを試行できないようにする。

パスワードの照合のためのハッシュ値を、パスワードに対してハッシュ化を繰り返して、求める。

パスワードの照合のためのハッシュ値を、パスワードに利用者IDごとに異なる文字列を付加してからハッシュ化して、求める。

この問題は、パスワードクラック対策の一つであるストレッチングをどの選択肢が正しく説明しているかを問うものです。ストレッチングは、クラッカーがパスワードを推測する難易度を高めるために用いられる技術です。

ストレッチングの定義
ストレッチングは、ハッシュ関数を用いてパスワードのハッシュ値を生成する際、意図的に処理時間を増やす技術です。これは、ハッシュ化を複数回繰り返すことにより、クラッカーがパスワードを解読するために必要な計算量を増加させるために行われます。
他の選択肢との比較
他の選択肢では、質問に基づく認証の追加や、ログイン試行回数に基づくアカウントロック、さらにはソルト（利用者固有のランダムデータ）を用いたハッシュ化が挙げられていますが、これらはストレッチングとは異なるセキュリティ対策です。特にソルトを使用する方法は、同一のパスワードが異なるハッシュ値を生成することを目的としており、直接的に計算時間の増加を目指すものではありません。

したがって、パスワードのハッシュ化を複数回繰り返すことで生成時間を延長し、攻撃者によるクラックの難易度を高める手法が、正確にストレッチングと呼ばれる技術です。この説明は正解の選択肢に該当します。