Article Outline
チャレンジアンドレスポンス方式でのパスワード認証
これは私の備忘録的な何か
原理
一般的なパスワード認証ではパスワードをハッシュ化したものをDB等に保存したパスワードハッシュと比較して照合を行うが、チャレンジアンドレスポンスでは以下の方法で認証を行う
- 乱数列をサーバからクライアントに投げる
- クライアントはサーバから送られてきた乱数列と自身の入力したパスワードからハッシュを計算しその値をサーバに送信する
- サーバは自身に保存してあるパスワードと送信した乱数列から同じアルゴリズムでハッシュを計算し2で送られたものと比較する
- 照合結果があっていれば認証
利点
パスワードを平文・暗号文問わず送ることがないため盗聴されても何の問題もない
デメリット
- 2回やり取りするので実行速度は遅め
- 実装がめんどい