FIDO ってそんな「今の運用よりマシだから OK」みたいな考え方する組織じゃなさそうだと思ってたんだがなぁ
RE: https://best-friends.chat/users/yukiyalien/statuses/111085464949835306
「パスワード」という概念がおかしくないか?実はおかしいんですよ(多分)
全部のデバイスに TOTP の secret を同期してるボケ野郎なので当てはまらなかった
RE: https://misskey.io/notes/9js91zntrp
自分がサービス作るとしたら TOTP 一本にするかな
まともなパスワードも運用できないようなユーザー相手を相手にしてるときに FIDO2 より TOTP は危険とか言っててもしゃーない気がする
RE: https://pasokey.net/notes/9js659zprd
メンションの前に「.」を付けてる投稿を見て思った
RE: https://misskey.hikalium.dev/notes/9js90sg19v
そういえば 旧twitter ではメンションから始まるツイートは TL に流れなかったけど Misskey とかだと流れるよね?
passkey、クラウドに OS が秘密鍵をバックアップするみたいだけどなんでそれで安全(そりゃカスのパスワードよりはマシだろうけど)ということになるのかわからん
Google、Apple、Microsoft は信用できるから OK とか言うわけじゃないよね?
https://fidoalliance.org/passkeys/
盗まれたことに気付きやすいこれどういうこと? スマホアプリだけで認証してたらスマホを盗まれた = seed を盗まれたになるから気付けるというわけじゃないよね? スマホを盗まれても生体認証とかあるから即 seed を盗まれたことにならないし
マジか、遊園地にあるのも正しくは閲覧車だったのか
RE: https://misskey-square.net/notes/9js5h0onuu
@koba789@misskey.io 完全に言い忘れてたけど「強力なパスワード」はサービス側が自動生成したもののつもりだった
その場合は seed そのものは認証するときにインターネットを通らないのでサービス側が生成したパスワードよりも盗みにくいのがアドバンテージですかね?
十分に強力なパスワードに対する TOTP の主にセキュリティ面での優位性がわからない
TOTP って要はサービス側が安全なパスワードを生成してそのパスワードとタイムスタンプから OTP を生成してるってだけでしょ?
@mui@social.sda1.net まあ利害関係とかお墨付き与えたやつが急に狂ったらとか名指しできないのもわかるけど、名指ししないことによって明らかに駄目なのを選ばれるリスクがあってうーん...
総務省、
パスワード管理ツールやサービスの利用も一考です。もちろん、充分に信頼できる安全なツールやサービスを利用することは重要です。って言ってるけど他人に勧めやすいように「信頼できる安全なツールやサービス」の例を上げてほしい
あんまりセキュリティとか詳しくない人にbitwardenとかkeepassを薦めるときに見せると良さそうな公的機関みたいな権威がありそうな存在による特定のパスワードマネージャーの推奨の声明みたいなの無いかな
@mui@social.sda1.net 直近にふぁぼったツイートから画像をダウンロードするスクリプト、できた
参考にしてみてね
https://github.com/1inguini/twitter-likes
