チチブ @neso@don.neso.tech

まあ普通に考えるとそれはそうなんだよな、 TOTP 入力画面に行けたら「パスワードは合ってました」という情報を攻撃者に与えることになるので、その瞬間実質単要素 (TOTP) 認証になってしまう

あーそうか！表示されていると、"埋めてない項目があるけれどどうなんだっけ…OTPとか設定していたかしら…"となるし、ちょっとそのあたり優しくないとかそういうのもあるのね

でもセキュリティ上は OTP も同時に入力させるべきみたいな指針があった気がする

そういえば、IDとpasswordとTOTP的なverification codeを一片に入力させることは全然見ないのはどうしてなんだろう 絶対にID&passwordを入力した後にverification codeの入力画面になるよね