Fediver

証券口座、ワンタイムパスワードも突破の恐れ　同時進行で乗っ取り
https://www.asahi.com/articles/AST660CKPT66ULFA01VM.html

有料記事だが無料でもだいたいのことはわかる記事。証券会社をかたる偽メールを送り、リアルタイムフィッシングを用いてID・パスワード・2FA認証コードが犯人の手にある状態にしてしまう。
これからは メール通知のリンクはすべて詐欺です という時代。

Microsoft 365とかだと他社のセキュリティ強化サービスの対象になっているIDだとユーザー名入力した時点でそっちにリダイレクトされたりし、パスワードレス認証の対象アカウントであれば当然パスワード欄は出しちゃダメでトークン認証に移行するし…
あと自分はこのMisskeyサーバーからのメール送信に Gehirn MTA 使ってるけど、そこの管理画面はユーザー名入れたあと、先にTOTPのワンタイムパスワードを入力してからパスワードを入力する仕掛けになっていた

一昨年、Galaxy Z Flip 4のヒンジ破損で画面が一部映らなくなったうえにタッチパネルも一部効かなくなって、auの故障紛失サポートで交換端末を発注して移し替えるために仕事用のワンタイムパスワードを含むデータを緊急にバックアップしないといけなくなったときに、Windowsとリンク機能があって助かった

ねんきんネットのシステム開発者は⑨なのか?
登録申請中に以下の問題があった
• パスワードに記号を使えない
→どうせサーバーに保存するときはハッシュの状態なので制限は必要ない
• パスワードの最大桁数が20文字と少ない
→現代のコンピュータであれば数百文字程度のハッシュ化は余裕なので引き上げるべき
• 2段階認証として秘密の質問を使ってる
→メールアドレスと電話番号を打たせるのだから､それでワンタイムパスワード認証すればいいし､TOTPも使えるとより良い