通信経路上に固定パスワードを流さないようにすることで、セキュリティリスクを軽減する認証方法です。この方法であれば直接パスワードが漏れるリスクやリプレイスアタックを防止できます。
認証の流れ
1.サーバはクライアントから要求があるたびにチャレンジと呼ばれる乱数を生成します。そしてその乱数をサーバ自身に保存するとともにクライアントへ送ります。
2.クライアントはサーバから受け取ったチャレンジとユーザーが入力したパスワードを所定の方法で計算します。この結果をレスポンスと呼びます。
3.クライアントはレスポンスとユーザーが入力したIDをサーバに送ります。
4.サーバはクライアントからIDとレスポンスを受け取ります。そしてIDからパスワードを検索し、保持していたチャレンジと組み合わせてクライアントと同じ方法でレスポンスを計算します。これをレスポンス照合データと呼びます。
5.サーバで計算したレスポンスとクライアントから受け取ったレスポンスが一致していれば認証は成功となります。
コメントを残す