Fediver

TOTPもパスキーも実装しないでログインする度にメールやSMSで認証コード送ってくるサービス滅ぶべし

やっぱコンシューマ向けのものにTOTP採用するの微妙だよね
万人がちゃんとトークンの管理できるわけない上にセキュリティ的に強固なわけでもないし、結局みんな使えなくて別の認証にフォールバックさせてるじゃんね

ちなみにGehirn MTAでは現在はパスキーに対応したので、ユーザー名→パスワード→TOTP or パスキーという一般的なフローになっていた。
TOTP先に入力する仕様になっていたときはまだパスキーがなく、TOTPの登録が義務だったため。

Microsoft 365とかだと他社のセキュリティ強化サービスの対象になっているIDだとユーザー名入力した時点でそっちにリダイレクトされたりし、パスワードレス認証の対象アカウントであれば当然パスワード欄は出しちゃダメでトークン認証に移行するし…
あと自分はこのMisskeyサーバーからのメール送信に Gehirn MTA 使ってるけど、そこの管理画面はユーザー名入れたあと、先にTOTPのワンタイムパスワードを入力してからパスワードを入力する仕掛けになっていた

TOTPをパスワードマネージャに入れたりしてる現状では生体認証とか所有認証とかそんなにシビアになる必要ないと思うしあまりシビアでない普及帯がpasskeyだったはず。
所有認証を確実にしたいならyubikeyみたいなリモートでの侵害が難しい単一機能のハードウェアを用意しようとそんな感じ

正気失ってるのでauthyに入ってるTOTPを全部登録しなおしてる

ねんきんネットのシステム開発者は⑨なのか?
登録申請中に以下の問題があった
• パスワードに記号を使えない
→どうせサーバーに保存するときはハッシュの状態なので制限は必要ない
• パスワードの最大桁数が20文字と少ない
→現代のコンピュータであれば数百文字程度のハッシュ化は余裕なので引き上げるべき
• 2段階認証として秘密の質問を使ってる
→メールアドレスと電話番号を打たせるのだから､それでワンタイムパスワード認証すればいいし､TOTPも使えるとより良い

個人的に、スマートフォンへのリスク集中は、公私問わず大量のTOTPやらパスキーやらをスマートフォンに抱えているのに今更する話ではないし