TOTP と U2F を選べる場面では U2F を選んでおいたほうが良さそう。後は FIDO2 がある程度普及してノウハウが貯まるのを待つ。
> この背景にあるのは、最近ニュースレベルでも話題に上っている、仮想MFAを用いた多要素認証への攻撃手法の流行であり、ワンタイムコードの詐取や、セッションハイジャックといった手法を用いて、多要素認証を突破する例が散見されるようになっています。これら以外にも、例えば、仮想MFA用のシークレットキーの漏洩、といったケースも考えられます。
> これらの課題への有効な対策として存在しているのが、ハードウェアMFA、特にTOTPのタイプではない、U2FタイプのハードウェアMFA、というわけです。
https://qiita.com/cold-wisteria/items/b02ab51cc8fb3f5cc1b3
s_ota / S. Ota
npub1su…w0yu8
2023-03-23 04:52:14
Author Public Key
npub1susumuq8u7v0sp2f5jl3wjuh8hpc3cqe2tc2j5h4gu7ze7z20asq2w0yu8Published at
2023-03-23 04:52:14Event JSON
{
"id": "ba34df09922d58f14b050bca32adc47c95f6f84640a6cf61972503eeab8a6dd1",
"pubkey": "8721cdf007e798f80549a4bf174b973dc388e01952f0a952f5473c2cf84a7f60",
"created_at": 1679547134,
"kind": 1,
"tags": [],
"content": "TOTP と U2F を選べる場面では U2F を選んでおいたほうが良さそう。後は FIDO2 がある程度普及してノウハウが貯まるのを待つ。\n\n\u003e この背景にあるのは、最近ニュースレベルでも話題に上っている、仮想MFAを用いた多要素認証への攻撃手法の流行であり、ワンタイムコードの詐取や、セッションハイジャックといった手法を用いて、多要素認証を突破する例が散見されるようになっています。これら以外にも、例えば、仮想MFA用のシークレットキーの漏洩、といったケースも考えられます。\n\u003e これらの課題への有効な対策として存在しているのが、ハードウェアMFA、特にTOTPのタイプではない、U2FタイプのハードウェアMFA、というわけです。\n\nhttps://qiita.com/cold-wisteria/items/b02ab51cc8fb3f5cc1b3",
"sig": "9b805e77a097b8b781d092dbf05f5a4e6cbe2fecdc250fc54b7a76a593580c9a810be92530ee6bc5d621f3d9018a1e5cd4c4755346e49005cc7f0e14a69d5d6f"
}