Fediver

@t_massann@mstdn.jp 一例として、証券業界ではいまフィッシングが非常に問題になっていて、ある程度入力待機時間があるワンタイムパスワードではフィッシングは防げないという理由で、サイトが一致しないと利用できないパスキーに移行していています

「漏洩使い回しパスワード」が原因だったらワンタイムパスワードでも被害を防止できるが、リアルタイムフィッシングの場合は偽サイトへの送信という形で漏洩したID・パスワード・ワンタイムパスワードのセットがあって、それが少なくとも数秒間は通用するという状況なので

証券会社を標的にした悪質なフィッシングメールがめちゃくちゃ多い。
証券各社は詐欺被害の増加を受けてワンタイムパスワード型の二要素認証を導入したけれども、それではリアルタイムフィッシングの被害を防げないということになったので、なのでフィッシング耐性の面でパスキー導入を推進することになったと聞いている

なお日本では2011年までキャリア間でSMSの規格が統一されていなかったため、ワンタイムパスワードにE-Mailが使われることも多かった

「ログインの安全性を強化する」の目的が違うかと。例えば最近証券会社等がPasskeyを採用しているのってフィッシング耐性を重視しているものと思っていて、これまで使われていたSMSやTOTPなどのワンタイムパスワード方式の2FAだと、パスワードの漏洩で直ちにアカウントにログインされることはなくなるというのはあるけどフィッシング耐性はないことが問題視されたからという背景がある

とりあえずワンタイムパスワードが解除できなくて詰んだやつはお問合せをした

SQEXワンタイムパスワードの解除ができなくて詰んだかこれは

楽天グループの新たなセキュリティ対策と会員規約一部改定のお知らせ
https://corp.faq.rakuten.net/rakutenid/s/detail/000008662

楽天がPasskeyとE-mailワンタイムパスワードを導入。

そもそも会社で使っているクラウドサービスの2FAとか、ワンタイムパスワードを表示するにも専用アプリを使う必要があって、端末が使えなくなったら再発行申請を出さなきゃいけないものとかもあるから、「端末を紛失する・故障させる = 致命的なセキュリティ事故」という意識を自分は持ってる

証券口座、ワンタイムパスワードも突破の恐れ　同時進行で乗っ取り
https://www.asahi.com/articles/AST660CKPT66ULFA01VM.html

有料記事だが無料でもだいたいのことはわかる記事。証券会社をかたる偽メールを送り、リアルタイムフィッシングを用いてID・パスワード・2FA認証コードが犯人の手にある状態にしてしまう。
これからは メール通知のリンクはすべて詐欺です という時代。

Microsoft 365とかだと他社のセキュリティ強化サービスの対象になっているIDだとユーザー名入力した時点でそっちにリダイレクトされたりし、パスワードレス認証の対象アカウントであれば当然パスワード欄は出しちゃダメでトークン認証に移行するし…
あと自分はこのMisskeyサーバーからのメール送信に Gehirn MTA 使ってるけど、そこの管理画面はユーザー名入れたあと、先にTOTPのワンタイムパスワードを入力してからパスワードを入力する仕掛けになっていた

一昨年、Galaxy Z Flip 4のヒンジ破損で画面が一部映らなくなったうえにタッチパネルも一部効かなくなって、auの故障紛失サポートで交換端末を発注して移し替えるために仕事用のワンタイムパスワードを含むデータを緊急にバックアップしないといけなくなったときに、Windowsとリンク機能があって助かった

ねんきんネットのシステム開発者は⑨なのか?
登録申請中に以下の問題があった
• パスワードに記号を使えない
→どうせサーバーに保存するときはハッシュの状態なので制限は必要ない
• パスワードの最大桁数が20文字と少ない
→現代のコンピュータであれば数百文字程度のハッシュ化は余裕なので引き上げるべき
• 2段階認証として秘密の質問を使ってる
→メールアドレスと電話番号を打たせるのだから､それでワンタイムパスワード認証すればいいし､TOTPも使えるとより良い