2006年10月21日
■ ワンタイムパスワードは何のためにあるのか
先月、ジャパンネット銀行から「SecurID」が送られてきた。RSAセキュリティのワンタイムパスワード生成器(以下「トークン」)だ。ジャパンネット銀行は全口座の利用者に対してこれを配布している。
届いた郵便物には図1の案内状が入っていた。
ここに書かれていることは事実でないので、信じてはいけない。
2. トークンはスパイウェアに監視されないので安全です。
トークンはパソコン、携帯電話などと一切の通信を行いません。万が一パソコンや携帯電話がスパイウェア(不正プログラム)に感染しても、トークンに表示されたワンタイムパスワードが監視されることがなく安心です。
これを読んだユーザは、「今後はダウンロードした .exe ファイルを安心して実行できる」と思ってしまうかもしれないが、トロイの木馬(不正プログラム)を実行してしまっては、たとえこのワンタイムパスワード生成器を使っていようとも、不正送金されるという事態は起こり得るのであり、「パスワードが監視されることがなく安心です」という宣伝文句を信じてはいけない。
スパイウェア(不正プログラム)はキーロガーだけではない。不正プログラムがユーザのコンピュータに入り込む余地があるということは、任意のプログラムが入り込み得るわけだから、ユーザがログインしたのを見はからってログインセッションを乗っ取ることができてしまう。こうした攻撃が英語圏では既に発生しているらしいという話は、2月22日の日記にも書いたとおりだ。
- 口座預金を略奪するトロイの木馬がまん延--セキュリティ研究者が注意を呼びかけ, CNET News, 2006年2月20日
ジャパンネット銀行のWebサイトでの説明ページでは、少し違う言い回しがされている。
トークン方式のワンタイムパスワードの安全性
(2) トークンはスパイウェアに感染しません
トークンはお取引にご利用されるパソコン、携帯電話などと接続して使用するものではなく、また、一切の通信を行いませんので、万が一パソコンや携帯電話がスパイウェアなどの不正プログラムに感染し、パソコンや携帯電話内の情報がすべて監視されていた場合でも、トークンに表示されているワンタイムパスワードを監視されることはありません。
ワンタイムパスワードのご案内, ジャパンネット銀行
トークン自体がスパイウェアに感染しないのは事実だろうし、トークンに表示されているものが監視されるわけではないのは事実だろうけども、パスワードを送信しようとして、ユーザがトークンから目でコピーしてブラウザに入力しているそのワンタイムパスワードは、不正プログラムならば監視できてしまう。
「ワンタイムパスワードは再利用できないので安全です」というが、たしかに、ワンタイムパスワードは再利用ができないが、再利用ができなければ安全だなどと、誰が言い出したのだろうか?
トークン方式のワンタイムパスワードの安全性
(1) ワンタイムパスワードは再利用できません
ワンタイムパスワードは、60秒ごとに使い捨てパスワードが自動発行され、一度使用したワンタイムパスワードは無効となりますので、万が一フィッシングなどでワンタイムパスワードが盗まれた場合でも、それを再利用し、不正に取引されることはありません。
ワンタイムパスワードのご案内, ジャパンネット銀行
微妙な言い回しだ。たしかに、再利用はできないのだから、「再利用によって不正取引される」ことがないのは事実だが、一回目の利用としてその瞬間(30秒以内)に不正取引される可能性があるのだから、「万が一フィッシングなどで……ありません」などと、フィッシングされても大丈夫であるかのような誤解を与える表現は危険だ。
昨年10月17日の日記「銀行やマスコミは対策の有効性の範囲で嘘を書いてはいけない」でも書いたように、誇大な安全宣伝は無責任であり、自分の首を絞めることになる。
これらはたぶん、わざと誇大に書いているのではなく、危険性に気づかなかったか、単に業者の宣伝文句を真に受けただけか、あるいは業者自身が無知で誤った宣伝をしているのだろう。
どうも、セキュリティベンダーは(さらには学術研究の場でさえしばしば)、ワンタイムパスワードがフィッシング対策や、スパイウェア対策になるという誤解をしているようで、困ったことだ。
たとえば、「SecuSURF SA」という製品の説明にも次のようなことが書かれている。
(略)は、フィッシング詐欺や「キーロガー」(キーボードからの入力を監視して記録するスパイウェアの代表格)などで不正に取得された本人確認情報の第三者による「なりすまし」利用を防ぐ高度認証ソリューション「SecuSURF SA」の販売を本日から開始します。
インターネット環境においてフィッシング詐欺やキーロガーにより不正に入手されたログイン情報を使った「なりすまし」を防ぐために、従来の単純なパスワードによる知識認証方式に替わり、より強固な認証機能が求められています。認証のセキュリティ強度を上げる方策としては、ICカード等の媒体認証、生体認証、ワンタイムパスワード認証などがありますが、いずれにおいても専用の装置が必要となり普及は難しい状況にありました。(以下略)
携帯電話を利用したワンタイムパスワード方式の高度認証ソリューション「SecuSURF SA」を販売開始, 野村総合研究所, 2005年11月7日
なぜこのような誤解が生じているのか考えてみた。
SecurIDは、消費者に使われるようになったのはごく最近のことだが、企業や団体では、従業員が社内システムに社外からアクセスする際に使用するなどの目的で、20世紀末から普及していた。この実績から、「SecurIDは安全性が高い」「コストが高いので普及しないだけ」という理解が広く浸透していたのだと考えられる。
コストが高い(配布の手間も含めて)ために、不特定多数の消費者向けの用途としては普及しなかったわけだが、そうも言っていられないほどの状況がここ数年で出てきたため、三井住友銀行をはじめ、ジャパンネット銀行もSecurIDを採用したのだろう。
そして、ここ数年で被害の原因として目立っているのは何かというと、フィッシングとスパイウェアである。だから、「SecureIDでフィッシングとスパイウェアから守れる」という短絡思考が生じているのではないか。
たしかに、ビンゴカードのような乱数表を使うくらいなら、ワンタイムパスワード生成器にした方が安全性が格段に違うというのは、その通りであり、三井住友銀行がSecurIDを採用したときは、セキュリティを理解しているはずの技術者達も絶賛したようだった。
- 三井住友銀行がワンタイムパスワード採用, スラッシュドットジャパン, 2006年1月13日
フィッシングやスパイウェアによる被害を防げるわけではない。では、SecurIDが安全であるという皆の理解はいったい何だったのだ? ということになる。
ワンタイムパスワードが安全であると言われた時代は、フィッシングなどという手法でユーザがこうも騙されて偽サイトに入れてしまうとは、想定していなかったのだろう。スパイウェアも然りで、それを想定するともはやどうにもならないので、想定しない前提で安全であると言われてきただけだ。
じゃあ、フィッシングもスパイウェアも想定外との前提を置いた場合に、ワンタイムパスワードの効用は何なんだということになるが、たとえば、「盗聴されても再利用できないので安全」という主張を検討してみると、盗聴されればセッションハイジャックされてしまうので、安全ではない。
「後ろからパスワードを覗かれても再利用されない」というのは概ね正しいだろう。他にはないのか……。
改めて考えてみるに、ワンタイムパスワードの効用とは、パスワードの安全レベルの管理が、ユーザではなく、アクセス管理者にコントロールされているところが肝ではなかろうか。
つまり、普通のパスワードだと、パスワードの安全レベルが、ユーザの力量に依存してしまう。パスワードの変更を許せば、安易なパスワードを付けるユーザが出てくるし、変更を許さず複雑なものを与えると、パスワードをメモしてモニタに貼り付けるユーザが出てくる。ここで、ワンタイムパスワード生成器を配布すれば、安易な内容のパスワードになってしまうことは避けられるし、メモさせず、物として管理もさせやすい。
一般のWebサイトなどでは、ユーザのパスワードの安全レベルは、ユーザの自己責任で決められている。パスワードが弱くて被害が出てもユーザの責任と主張することができるだろう。それに対し、企業が社内システムへのリモートアクセス用にアクセス制御機能をインターネットに開くときは、一人でも弱いパスワードを付けるユーザがいるだけで、社内システムが危険に晒されるわけだから、ユーザの責任でというわけにいかない。これが、SecurIDが企業等に先に普及していった本当の理由ではないか。
さて、そうすると、銀行がワンタイムパスワード生成器を導入したのは勇み足だったのか? ということになるが、そうではない。今年の2月から預金者保護法が施行された。預金者保護法は、偽造カードと盗難カードによる被害を対象としており、インターネットバンキングでの被害は対象としていないが、考え方としては共通しており、将来、インターネットバンキングにも対象が広げられるかもしれない。この法律により、一定の基準のケースにおいて、銀行側が被害を補償しなくてはならないようになった。つまり、「パスワードが弱いのはユーザの責任」とは言っていられない状況が強まった。
だから、今こそ銀行がワンタイムパスワードを導入するというのは正しい。ただ、その理由が間違って宣伝されている。
■ Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか
CSRF対策の話題で、Internet ExplorerのCSSXSS脆弱性に配慮するべきだという主張が出た際に私は、それはWebブラウザの脆弱性でありWebアプリ側の責任ではないとした。その理由は、hiddenが漏れるならどのみち別の方法で同等の被害が出るのだからというものだった。(4月9日の日記「hiddenパラメタは漏れやすいのか?」)
それに比べると、Session Fixationの脆弱性を考えるときに、Webブラウザの責任と言えるかどうかは微妙なところにある。
ところで、Session Fixationが、Webアプリサーバ製品の脆弱性を指すものと、誤解している人が少なくないような気がする。Session Fixationという名前を付けたACROS Securityの論文「Session Fixation Vulnerability in Web-based Applications」*1では、「Session Adoption」という用語を定義している。
Session adoption
Some servers (e.g., JRun) accept any session ID in a URL and issue it back as a cookie to the browser. For example, requesting:
http://online.worldbank.dom/?jsessionid=1234
sets the session cookie JSESSIONID to 1234 and creates a new session with that ID on the server. We'll call such behavior "session adoption", due to the fact that the server effectively "adopts" a session ID that was generated by someone else.
PHPにはこの脆弱性があり、設定で回避できるのだが、PHPプログラマ界隈では、このことばかりが注目され、「Sesssion FixationといえばこのSession Adoptionのことを指す」という誤解があるように思われる。実際には、論文にあるように、攻撃者がサーバから取得した有効なセッションIDを使う方法が、Session Fixationとして一般的であり、それをユーザのブラウザにセットする別の方法が存在すれば、(Session Adoptionができなくても)Session Fixationの脆弱性があることになる。
cookieでセッション追跡されているWebアプリにおいては、その方法は、XSS脆弱性を突く方法と(これは上の論文に書いてある)、ブラウザの「Cookie Monster」バグを使う方法(これは上の論文には書かれていない)がある。このあたりの話については、2月のIPAでの講演スライドにも書いた。
で、ブラウザの「Cookie Monster」バグが現状でどのように考えられているか。
スライドを作成した時点では、Mozillaプロジェクトは直す気がないようだと書いた。1998年から知られている件であり脆弱性ではないとする主張、Session FixationはWebアプリ側で直せるからいいじゃないかという主張などがあった。それが、久しぶりに再び当該のBugzilla Bug「252342: fix cookie domain checks to not allow .co.uk」を見に行ったところ、進展していたことに気づいた。
ドメイン名の構造を表すファイルを作成して、それに従って Set-Cookie: での domain指定の範囲を決定するという方向性が選ばれたようで、Bugzilla Bug「331510: Add knowledge of subdomains to necko (create nsEffectiveTLDService)」でファイルフォーマット案が示され、パッチが作成されているようだ。ファイルの内容は「342314: Need effective-TLD file」で検討されているもよう。しかし、まだ完成には至っていないようで、Mozilla 1.8 にも組み込まれないようだ。
ちなみに、OperaがDNSを使ってやっているらしいという件は、Internet Draftが書かれていたことにいまごろ気づいた。しかし、このドラフトはexpireしている。
- I-D ACTION:draft-pettersen-dns-cookie-validate-00.txt
- I-D ACTION:draft-pettersen-subtld-structure-00.txt
そして Internet Explorerがどうなっているかというと、ドメイン名の第2レベルが2文字の場合は第3レベルで分けるというアドホックな対策を(昔から)とっているが、これは .jp においても地域ドメインなどで問題になるわけで、IEにはCookie Monsterバグがないというわけではない。
このような状況では、Session Fixation脆弱性の原因をWebブラウザ側に責任がある(Webアプリ側に責任なし)と位置付けるのには難があるというわけだが、はてさて、今後どうなっていくのだろうか。
*1 ちなみに、この論文は微妙に間違った内容も含まれているので注意。
- http://www.bing.com/search?q=ワンタイムパスワード 脆弱&form=MSNH14&sc=8-... ×4 (2020-02-10)
- はてなブックマークコメント ×44 : 12, 9, 6, 6, 4, 3, 2, 1, 1 (2020-02-07)
- https://www.bing.com/ ×20 (2016-07-25)
- https://www.google.co.jp ×73 (2015-09-04)
- http://gcup.ru/load/ ×6 (2014-03-27)
- http://kherson-apartments.ru/article_2.php ×6 (2014-03-16)
- http://search.fenrir-inc.com/?hl=ja&channel=sleipnir_2_w&saf... ×4 (2012-11-29)
- http://forum.square-enix.com/ffxiv/threads/30566-ゲームへのログインに関... ×14 (2012-01-15)
- スラッシュドットarticle [06/10/23/0034213] ×71 : 48, 15, 4, 2, 1, 1 (2010-11-16)
- スラッシュドットcomments [337547] ×160 : 45, 32, 27, 9, 9, 7, 6, 5, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2009-12-06)
- http://ipl.jigu.jp/ykitani/hju/ie2009.html ×5 (2009-07-14)
- はてなブックマークコメント [3055892/高木浩光@自宅の日記 - ワンタイムパスワードは何のためにあるのか] ×4 (2008-12-17)
- ココログ [kjunichi cocolog] ×10 (2008-03-19)
- はてなブックマークコメント [3055892] ×4 (2007-09-05)
- はてなキーワード [SecureID] ×7 (2007-05-16)
- はてなブックマークコメント [3063775] ×9 (2007-04-25)
- はてなダイアリー [textfile] ×95 : 91, 1, 1, 1, 1 (2007-04-09)
- mixi bbs [16237156] ×25 : 10, 4, 3, 3, 2, 2, 1 (2007-03-17)
- http://q.hatena.ne.jp/1171356457 ×281 (2007-02-19)
- はてなブックマークコメント [3055583] ×4 (2007-02-10)
- fc2 blog [ruke.blog5] ×4 : 3, 1 (2007-01-26)
- 2ちゃんねる掲示板 [yahoo 1166795124] ×12 : 5, 2, 2, 1, 1, 1 (2007-01-11)
- ime.nu /20061021.html ×58 (2007-01-08)
- はてなキーワード [CSSXSS] ×11 (2007-01-04)
- ココログ [stressfulangel cocolog] ×29 : 15, 7, 5, 2 (2006-12-27)
- http://www.gem.hi-ho.ne.jp/hiromatsu/memo/securty/index.html... ×5 (2006-11-30)
- ココログ [t-2038 cocolog] ×7 : 5, 2 (2006-11-11)
- http://takabsd.jp/d/?date=20080424 ×84 (2006-11-10)
- ITmediaブログ [izumitani 2006/11/hp_6567] ×14 : 7, 5, 1, 1 (2006-11-06)
- はてなダイアリー [textfile 20061101] ×93 : 92, 1 (2006-11-02)
- http://eos.nri.com/sns/?m=pc&a=page_fh_diary&target_c_diary_... ×6 (2006-10-30)
- はてなダイアリー [ripjyr] ×13 (2006-10-24)
- セキュリティホールmemo ×487 : 316, 167, 4 (2006-10-23)
- スラッシュドットjournal [von_yosukeyan] ×30 : 22, 6, 2 (2006-10-23)
- はてなダイアリー [matoriX 20061020] ×5 (2006-10-22)
- ワンタイムパスワード ×395 / ワンタイムパスワード 銀行 ×155 / php ワンタイムパスワード ×137 / キーワード不明 ×119 / Cookie Monster Bug ×99 / php ワンタイムトークン ×86 / ワンタイムパスワード 脆弱性 ×74 / ワンタイムパスワード php ×57 / ワンタイムパスワード 安全性 ×53 / ワンタイムセッション ×49 / 銀行 ワンタイムパスワード ×49 / PHP ワンタイムパスワード ×45 / 三井住友 ワンタイムパスワード ×32 / fixation ×32 / ワンタイムパスワード PHP ×24 / ワンタイム パスワード ×24 / cookie monster bug ×22 / 高木浩光 ワンタイムパスワード ×21 / 三井住友銀行 ワンタイムパスワード ×20 / ワンタイムパスワード 三井住友 ×19 / ワンタイムパス ×19 / ワンタイムトークン ×18 / session adoption ×18 / 携帯電話 ワンタイムパスワード ×16 / Session Fixation ×16 / ジャパンネット銀行 ワンタイムパスワード ×15 / cookie monster バグ ×15 / ワンタイムトークン php ×15 / Session Adoption ×15 / ワンタイムパスワード 危険 ×14 / php ワンタイム ×13 / ワンタイムurl php ×13 / ワンタイムパスワード プログラム ×12 / ワンタイムパスワード 携帯 ×12 / トークン 安全性 ×12 / ワンタイムパスワード トークン ×12 / ワンタイムパス 銀行 ×11 / ワンタイムパスワード 安全 ×11 / ワンタイムパスワード方式 ×11 / 携帯 ワンタイムパスワード ×10 / Cookie Monster バグ ×10 / ジャパンネット銀行 トークン ×9 / session fixation ×9 / SecuSURF ×9 / ワンタイムパスワード 脆弱 ×9 / CSRF 対策 ワンタイムトークン ×9 / ワンタイムID ×9 / ワンタイムURL ×9 / ワンタイムパスワード生成器 ×9 / ワンタイムパス 脆弱性 ×8 / ワンタイムパスワードは安全か ×8 / ワンタイムパスワード 生成 ×8 / セッション ワンタイム ×8 / シティバンク ワンタイムパスワード ×8 / ワンタイムパスワードの安全性 ×8 / ワンタイムパスワード ジャパンネット銀行 ×8 / ワンタイムパスワード 携帯電話 ×7 / ワンタイムパスワード 危険性 ×7 / Cookie Monster ×7 / ワンタイムURL php ×7 / セッション ワンタイムパスワード ×7 / PHP ワンタイムトークン ×7 / ワンタイム ×7 / ワンタイムパスワード セッション ×7 / ワンタイム セッション ×7 / ワンタイムパスワード 高木 ×6 / SecuSURF SA ×6 / ワンタイムパスワード 導入 ×6 / 三井住友 ワンタイム ×6 / CSRF ワンタイムトークン ×6 / 三井住友銀行 ワンタイム ×6 / ワンタイムパスワード リスク ×5 / パスワード生成器 ×5 / ワンタイムパスワード 有効性 ×5 / 高木 ワンタイムパスワード ×5 / ワンタイムパスワード 普及 ×5 / パスワード生成機 ×5 / ワンタイムパスワード 三井住友銀行 ×5 / secusurf ×5 / ワンタイムパス php ×5 / ワンタイムパスワード銀行 ×5 / "session cookie" 盗聴 ×5 / session ワンタイムパスワード ×5 / -hiromitsu.jp cookie ×5 / ワンタイムパスワードとは ×5 / php セッション ワンタイム ×5 / ワンタイム パスワード php ×5 / トークンの安全性 ×5 / PHP ワンタイムパス ×5 / ワンタイムパスワード 方式 ×5 / ワンタイムパスワード なりすまし ×4 / ワンタイムパスワード カード ×4 / ワンタイム パスワード 銀行 ×4 / JNB ワンタイムパスワード ×4 / ワンタイムパスワード アプリ ×4 / CSRF -hiromitsu.jp ×4 / ワンタイムパスワード 論文 ×4 / ワンタイムパスワードの有効性 ×4 / ワンタイムパスワード 高木浩光 ×4 / OTP 脆弱性 ×4 / cookie monster ×4 / 銀行 ワンタイム パスワード 安全 トークン ×4 / ワンタイムパスワード セキュリティホール ×4 / web ワンタイムパスワード ×4 / php ワンタイムパス ×4 / ワンタイムパスワードの脆弱性 ×4 / ワンタイムパスワード 乱数表 ×4 / hidden パスワード ×4 / ジャパンネット銀行 ワンタイムパスワード アプリ ×4 / ワンタイム・パスワード ×4 / ワンタイムパスワード 銀行 値段 ×4 / SecureIDの安全性 ×4 / ワンタイム パスワード 脆弱性 ×4 / ワンタイムパスワード Web ×4 / ワンタイムパスワード 生成方法 ×4 / パスワード生成 ×4 / CSRF ワンタイムパスワード ×4 / セッションハイジャック ワンタイムパスワード ×4 / cookie パスワード ×4 / -hiromitsu.jp ワンタイムパスワード ×4 / ワンタイムパスワード ぜい弱性 ×3 / セッション 脆弱性 ×3 / トークンは安全か ×3 / ワンタイムトークン 高木 ×3 / php セッション ワンタイムパスワード ×3 / ワンタイムパスワード 生成機 ×3 / "session adoption" ×3 / ワンタイムパスワード トークン 銀行 ×3 / php ワンタイム パスワード ×3 / trac ×3 / ワンタイムパスワード生成 ×3 / 乱数表 パスワード ×3 / ワンタイムパスワード 採用銀行 ×3 / トークン ワンタイム ×3 / トークン 危険 ×3 / トークン 銀行 ×3 / Cookie Monster Bug 回避 ×3 / RSA ワンタイムパスワード PHP ×3 / ワンタイムパスワード キーロガー ×3 / Session Adoption 脆弱性 ×3 / jnb ワンタイムパスワードとは ×3 / Cookie Monster ブラウザ ×3 / webアプリ ワンタイムパスワード ×3 / Cookie Monster セッション ×3 / 携帯 セッション -hiromitsu.jp ×3 / パスワード 脆弱性 ×3 / トークン 危険性 ×3 / ワンタイムパス 安全性 ×3 / php ワンタイムURL ×3 / 高木浩光 Cookie Monster ×3 / php パスワード 自動生成 ×3 / ワンタイムパスワード トークン 脆弱性 ×3 / パスワード 安全性 ×3 / php ワンタイムチケット ×3 / cookiemonster 脆弱性 ×3 / ジャパンネット ワンタイムパスワード ×3 / ワンタイムパスワード 盗聴 ×3 / ワンタイムトークン方式 ×3 / cookie パスワード 危険 ×3 / php ワンタイム トークン ×3 / ワンタイムパスワード脆弱性 ×3 / 送金 監視 ×3 / セッション パスワード ×3 / ネット銀行 ワンタイムパスワード ×3 / ワンタイムパスワードカード 危険性 ×3 / ワンタイムパスワード 作成 ×3 / パスワード 乱数表 ×3 / ワンタイムurl ×3 / 野村 ワンタイムパスワード ×3 / WEB ワンタイムパスワード ×3 / smbc ワンタイムパスワード ×3 / パスワードは何のため ×3 / ブラウザ session ×3 / ワンタイムパスワードの虚弱性 ×3 / RSA ワンタイム トークン ×3 / 三井住友銀行ワンタイムパスワード ×3 / ワンタイムパスワード認証システム ×3 / ログイン ワンタイムパスワード ×2 / cookie 脆弱性 ×2 / ruby パスワード生成 ×2 / 携帯電話 session php ×2 / 脆弱性 ×2 / PHPワンタイムパスワード ×2 / 高木浩光 セッション ×2 / ワンタイムパスワード危険性 ×2 / session パスワード ×2 / php パスワード 生成 ×2 / セッションID トークン ×2 / RSAセキュリティ ワンタイムパスワード ×2 / ワンタイム トークン ×2 / PHPワンタイムトークン ×2 / php 認証 ワンタイムパスワード ×2 / ワンタイムパスワード セキュリティ ×2 / ワンタイムURL 本人確認 ×2 / PHP ワンタイムURL ×2 / セッションID ワンタイムパスワード ×2 / ワンタイムパスワード なぜ ×2 / ワンタイムパスワード 住友 ×2 / 携帯 -hiromitsu.jp ×2 / トークン セッション ×2 / ワンタイムパスワード なんのために ×2 / 三井住友 トークン ×2 / Cookie Monster 脆弱性 ×2 / 銀行 ワンタイムパスワード 安全性 ×2 / ワンタイムパスワードはほんとに安全か ×2 / RO ワンタイムパスワード ぜい弱性 ×2 / ワンタイムパスワードアプリ ×2 / ワンタイムパスワード 再利用 ×2 / Bug 252342 ×2 / パスワード生成機 三井住友 ×2 / トークン 安全か ×2 / パスワード -hiromitsu.jp ×2 / パスワード 生成 Web ×2 / ワンタイム アプリ リスク 乱数表 ×2 / 三井住友銀行のワンタイムパスワード ×2 / RSA ワンタイムパスワード ×2 / ワンタイムパスワードカード ×2 / 三井住友 ワンタイムパス ×2 / パスワードの安全性 ×2 / 携帯 セッション ワンタイム ×2 / PHP ワンタイム ×2 / Bugzilla パスワード ×2 / ワンタイムパスワード アプリ カード 安全性 ×2 / RSA トークン ×2 / ワンタイムセッションとは ×2 / ワンタイム口座は危険ですか ×2 / フィッシング トークン ×2 / Session Fixation 責任 ×2 / Session Fixation cookie ×2 / ワンタイムパスワードトークン ×2 / ワンタイムパスワード とは ×2 / 銀行 ワンタイムパスワード 何のため ×2 / jsessionID なりすまし ×2 / Session Fixation脆弱性 ×2 / ワンタイム 銀行 ×2 / CSRF対策 ワンタイム ×2 / ワンタイムパスワード 銀行 法人 ×2 / ジャパンネット銀行 被害 トークン ×2 / 日記 パスワード ×2 / 銀行 トークン ×2 / トークン 不正送金 ×2 / PHP 認証 ワンタイムパスワード ×2 / -hiromitsu.jp PHP ×2 / ワンタイムパスワードアプリ 安全 ×2 / パスワード生成機のワンタイムパスワードなら安全? ×2 / セッションID トークン方式 ×2 / ワードはどのように漏れるのか? ×2 / ワンタイムパスワード 利用者数 ×2 / トークン 有効性 ×2 / 高木 パスワード ×2 / 認証 cookie 高木 ×2 / セッション ユーザ パスワード ×2 / ジャパネツトタカギ ×2 / ワンタイムパスワード 構造 ×2 / セッションID 再利用 ×2 / Cookie Monster 対策 ×2 / トークン ジャパンネット ×2 / リモートアクセス ワンタイムパスワード ×2 / ジャパンネット銀行 トークン発行 ×2 / -hiromitsu.jp CSSXSS 高木浩光 ×2 / -hiromitsu.jp セッションハイジャック ×2 / ICカード ワンタイムパスワード ×2 / フィッシング 対策 ワンタイム・パスワード ×2 / 高木浩光 パスワード ×2 / 高木浩光 ワンタイム ×2 / ワンタイム -hiromitsu.jp ×2 / php onetime password ×2 / PHPアプリ脆弱性 ×2 / rsa 銀行 安全性 ×2 / PHP パスワード 生成 ×2 / Webアプリの脆弱性の責任 ×2 / php ワンタイムurl ×2 / ジャパンネット銀行 ワンタイムパスワード トークン ×2 / Cookie Monster bug ×2 / 三井住友銀行 パスワード生成機 ×2 / 高木浩光 ワンタイムトークン ×2 / 野村 トークン ×2 / 高木浩光@自宅日記 ワンタイムパスワード ×2 / ワンタイムパスワード リモートアクセス ×2 / secusurf sa ×2 / ://takagi-hiromitsu.jp/diary/ hidden ×2 / ワンタイムトークン PHP ×2 / one-time password exploit ×2 / セッションハイジャック 携帯電話 ×2 / ワンタイムパスワード 安全か ×2 / ワンタイム 高木 ×2 / Cookie Monster Bug IE ×2 / カード ワンタイムパスワード ×2 / ワンタイムセッションID ×2 / 高木浩光@自宅の日記 ワンタイムパスワード ×2 / ワンタイムパスワード 将来 ×2 / ワンタイムパスワードカード 安全性 ×2 / hidden -hiromitsu.jp ×2 / ワンタイムクッキー ×2 / PHP ワンタイムパスワード 図 ×2 / ワンタイム 安全性 ×2 / session ワンタイム ×2 / 高木浩光 ジャパンネット銀行 ×2 / ワンタイムパスワード 採用 ×2 / session fixation 対策 ×2 / Session Adoption脆弱性 ×2 / onetime password php ×2 / Cookie Monster Session Fixation ×2 / 認証 ワンタイムトークン 高木 ×2 / 認証された主体なしではアクセス制御が実行できません ×2 / PHP パスワード生成 ×2 / インターネットバンキング ワンタイムパスワード 安全性 ×2 / 高木 セッション ×2 / PHP ワンタイム・パスワード ×2 / ワンタイムパスワード セッションID ×2 / Webアプリ セッション セキュリティ ×2 / ジャパンネット銀行 ワンタイムパスワード やめる ×2 / Session 再利用 ×2 / SESSIOn FIXATION ×2 / ワンタイムパスワード web ×2 / 携帯 ワンタイムパスワード 銀行 ×2 / session cookie ×2 / ワンタイムパスワード カード なくした場合の安全性 ×2 / ワンタイムパスワード生成機 ×2 / ワンタイムパスワード WEB ×2 / ワンタイムパスワード 乱数表 安全性 ×2 / ワンタイムパスワード パスワード生成機 ×2 / パスワード ×2 / 銀行 ワンタイム パスワード ×2 / webアプリケーション ワンタイム ×2 / SecuSurf ×2 / -hiromitsu.jp ハイジャック ×2 / ワンタイムパスワード フィッシング ×2 / ネット銀行 不正取引 被害 ×2 / IE セッション バグ ×2 / WEBアプリ 認証 ×2 / system down mp3 download ×2 / インターネットバンキング ワンタイムパスワード ×2 / ワンタイムパスワード php ×2 / Web ブラウザ セッション ×2 / 高木 ワンタイム CSRF ×2 / php セッション ログイン ×2 / ブラウザ セッション ×2 / cookie ワンタイムパスワード ×2 / Session Fixation攻撃 ×2 / インターネットバンキング セキュリティ ワンタイムパスワード ×2 / 文字 認証 ://takagi-hiromitsu.jp/diary/ ×2 / プログラム ワンタイムパスワード ×2 / 乱数表 -hiromitsu.jp ×2 / php 湾タイムパスワード ×2 / onetime session ×2 / ワンタイムパスワード site:takagi-hiromitsu.jp/diary/ ×2 / ワンタイムパスワード認証 PHP ×2 / jsessionid セッションハイジャック ×2 / ワンタイムパスワード 証券会社 ×2 / -hiromitsu.jp XSS ×2 / -hiromitsu.jp CSRF ×2 / ワンタイムパスワード 連携アプリケーション ×2 / なぜワンタイムパスワードが必要か ×2 / 三井住友ワンタイムパスワード ×2 / ワンタイムパス php ×2 / 銀行 使い捨てパスワード ×2 / 三井住友 ワンタイムパス アプリ ×2 / Cookie Monster ブラウザー ×2 / パスワード site:takagi-hiromitsu.jp ×2 / phpワンタイムパスワード ×2 / php パスワード再発行 パスワード ワンタイム ×2 / session 認証 php ×2 / パスワード 責任 ×2 / SMBC ワンタイムパスワード ×2 / Fixation ×2 / ワンタイム 脆弱性 ×2 / ジャパンネット銀行 脆弱性 ×2 / パスワード認証 脆弱性 ×2 / 安易なパスワード ×2 / 盗聴 ワンタイム ×2 / インターネット バンキング ワンタイムパスワード 安全性 ×2 / SSO ワンタイムパスワード セキュリティホール ×2 / ワンタイムパスワード 社内利用 ×2 / php ワンタイムパスワード 作成 ×2
