HOME»情報処理安全確保支援士掲示板»平成27年春午後1問3設問3dについて
投稿する

平成27年春午後1問3設問3dについて [0078]

 sc1さん(No.1) 
平成27年春午後1問3設問3dについて、ご教示下さい。

IPAの回答としては「200」となっており、
【制約条件】(C)(iv)の「一日あたりの試行回数」(5000件/日)の
上限値に基づいて計算しているようですが、
【制約条件】(C)(ii)の「利用者IDごとの上限」(4回/日)を
無視していないでしょうか?

【制約条件】(C)(ii)にて、「利用者IDごとに1日4回を上限に攻撃」とあるので、
パスワードの全組み合わせを試行すると、10^6÷4で250,000日掛かるのではないでしょうか?

どなたか開設の程、よろしくお願い致します。
2016.04.03 18:05
sc09さん(No.2) 
n>5000のn人分の利用者IDのリストを取得済みなのでそれを利用して
10^6/5000=200
ということではないですか?
1日あたりの試行回数が5000回でちょうど利用者IDのリストの数と一致してこの計算になるのではないでしょうか。もっとわかりやすい解説ができるかもしれませんが計算式はこうなるはずです。
2016.04.03 20:58
たかばさん(No.3) 
利用者IDも変えるながら試行すれば、「利用者IDごとに1日4回を上限」に
ひっかからずに、5000パターンいけるかと。
で、確率的には、200日で1人分はログインが成功することになると思うんですが、
そのあとの「200日の半分よりも大きく200日以下」が理解しきれていません。
2016.04.03 21:26
sc01さん(No.4) 
sc09さん、回答ありがとうございます。
それも考慮してみましたが、個人的に腑に落ちません。

「利用者IDのリストを取得済み」は、
あくまでも標的となる利用者IDのことで
各利用者IDが取り得るパスワードのパターンは、
10^6です。

1日あたり全利用者IDに対して試行する場合、
一つの利用者IDに対して試せるパスワードのパターンは高々1個なので、
パスワードの全組み合わせを試行しようとすると
少なくとも10^6日掛かるはずです。

一方、特定の利用者IDに集中して試行しようとしても、
「利用者IDごとに1日4回を上限に攻撃」の条件が
あるので、この場合でも少なくとも250,000日掛かると考えています。

問題の解釈が誤っているのでしょうか?
詳しく解説して頂けると嬉しいです。
2016.04.03 21:50
sc01さん(No.5) 
たかばさん
回答ありがとうございます。

問題は、「パスワードの全組み合わせを試行すると」と書いてあるので、
確率を考慮して、何日目でログインできるかという事ではないと思います。


>そのあとの「200日の半分よりも大きく200日以下」が理解しきれていません。
これは、一回目で成功する場合もあれば、10^6回目で成功する場合があるので、その平均で半分だと思います。
nが大きくなると一つの利用者IDあたりの試行頻度さがるので、半分より大きくなります。

2016.04.03 22:03
ふじやんさん(No.6) 
200日で誰か1人分は、ログインできるだろというだけじゃないですか?

>「利用者IDのリストを取得済み」は、
>あくまでも標的となる利用者IDのことで
>各利用者IDが取り得るパスワードのパターンは、
>10^6です。
特定の1IDだけを突破しようとしているとは、書いてないと思います。

>問題は、「パスワードの全組み合わせを試行すると」と書いてあるので、
>確率を考慮して、何日目でログインできるかという事ではないと思います。
突破できたIDに残りの組み合わせを試すことに何の意味があるのだろうか・・・
つまり有効なIDがあるので、
(1/10^6)*4=1/250000 :1日で特定IDが突破できる確率
5000/4=1250 :1日に試せるID数
(1/250000)*1250=0.005 :1日でいずれかのIDを突破できる確率
0.005*n=1 :いずれか1つのIDを突破するのに要する日数
n=200 :200日あればどれか突破できるだろ

式にするとこんな感じだと思います。
2016.04.04 11:49
 sc1さん(No.7) 
ふじやんさん
回答ありがとうございます。

> 特定の1IDだけを突破しようとしているとは、書いてないと思います。
書いていないです。
これは私が思いつく、効率よく施行する方法として挙げた例です。
条件下において、10^6回の試行を200日で実施するって、具体的にどうやっているんでしょう・・?

> 200日で誰か1人分は、ログインできるだろというだけじゃないですか?
> 突破できたIDに残りの組み合わせを試すことに何の意味があるのだろうか・・・
意味があるかどうかは知りませんが、
問われているのは、パスワードの全組み合わせを試行すると何日かかるか?であって、
何日で認証を突破できるかではないと思います。


> つまり有効なIDがあるので、
> (1/10^6)*4=1/250000 :1日で特定IDが突破できる確率
> 5000/4=1250 :1日に試せるID数
> (1/250000)*1250=0.005 :1日でいずれかのIDを突破できる確率
> 0.005*n=1 :いずれか1つのIDを突破するのに要する日数
> n=200 :200日あればどれか突破できるだろ
5000IDや4回/日の条件を無視して、単純に10^6種類のパスワードを試せる日数だとそうですね。
ここまでは私も納得です。
でも、この条件下で1ID単位でみると800通り(=4回×200日)しか試行していないので、
IDが突破できる確率?は800/10^6(0.1%以下!)です。
これが5000IDあるからといって、IDが突破できる確率は上がりません
(それぞれのIDに対して800/10^6しか試していないので)。
200日あってもどれも突破できないと考えるのふつうな気がします。。

腑に落ちないことは、
「パスワードの全組み合わせを試行すると何日かかるか?」
に対して、確率の話が出てくることです。

私の認識に間違いがあればご指摘いただけると幸いです。
2016.04.04 15:38
ふじやんさん(No.8) 
sc1さんの認識に間違いはないと思いますよ。
>IDが突破できる確率?は800/10^6(0.1%以下!)
1IDは、0.0008 = 0.08%ですね。これを5000ID試行すると4IDは突破できる計算になります。
5000 / 4 = 1250  1250IDに対して800パターンの組み合わせを行えば、1IDは突破できる"計算"になります。

>腑に落ちないことは、
>「パスワードの全組み合わせを試行すると何日かかるか?」
>に対して、確率の話が出てくることです。
これは、俗にいう「IPA力」とか「IPA脳」とかの異次元な要求に対する対応力を過去門から身に着けるしかないかと…
本改修に時間をかけれないのは、時間をかけると不正アクセスされるからってことが書かれてるので、じゃあ最短で何日で突破されるの?的な「確率」のお話にならざるをえないのかなと思いますよ。
2016.04.04 16:33
 sc1さん(No.9) 
ふじやんさん
回答ありがとうございます。

> 1IDは、0.0008 = 0.08%ですね。これを5000ID試行すると4IDは突破できる計算になります。
> 5000 / 4 = 1250  1250IDに対して800パターンの組み合わせを行えば、1IDは突破できる"計算"になります。
う~ん。やっぱり、う~ん!
5000IDが同じパスワードを設定している「前提」があればそれで納得終了なんですが、
そんな大事な情報は書かれていませんし、そんな偏った状況での確率なんて通常考えられませんよねぇ。。(ていうか意味ないですよね?)。

何IDあろうが、200日で突破できる隔離は0.08%じゃないのか・・

私の頭が固いということですか・・
2016.04.04 17:25
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop