とにかく巧みに騙すですね。
2ファクタ認証の場合も、2ファクタ目も上手く誘導されて騙されればお終いです。
本物によく似た認証画面や情報入力画面でも、同時にあれこれ入力は、本来は無いはずなんですが、そこら辺を見抜けないと2ファクタ目の認証情報も盗まれます。
また、そもそも端末なるブラウザがマルウェア汚染されたりで、MITB等の中間者攻撃にさらされていても、2ファクタ認証は意味がなくなります。
MITBなんてのは、名前の通り、ブラウザの中に犯罪者が潜むかの如くで、勝手な情報の流量と操作をされます。
それと、昔からクリックジャギングの手口とかでも使われますが、画面を透明にしつつ偽の画面を被せて表に見せてとかいう手段もありますね。
操作してる側は、本物の画面を操作してる気になりますが、実際は、偽物への操作です。
最近普及してきた、パスコードが相応に優秀なのは、デバイス認証等もしつつ、公開鍵暗号の技術(鍵ペアで組み合わせの確認を)を用いて、本物であるかという部分を判断(本人が知っているという事だけに依存をしない)できるからです。
さらに、パスワードの様な認証情報を直接オンラインでやり取りもないことも利点です。
場合によっては、デバイス認証の部分では、生体認証との紐付けもしてますね。
パスワードは複雑な組み合わせ、ランダムであるほど、それなりに安全ではあります。
複雑さより、長さで安全性を担保にもなってますね。 結果として、長いと類推が困難、攻撃用辞書でも対応が困難となります。
パスワードは、類推が容易なのはダメはもちろん、文字列を逆にしたり、定番の文字の置き換えなんかもダメです。 こういうのは定番として類推されます。
元々、個人情報から(漏洩してる場合に)類推して攻撃用辞書を補完なんてありましたが、昨今だと、AIでより類推の仕方がお利口さんになっているから、尚更です。
かといってランダム過ぎて覚えられないもありますかが、どこかにメモするとか(保管はオフラインとか暗号化とか工夫する)、パスワード管理アプリなどを利用するとかもありですね。
なによりも大事なのは、同じパスワードを使いまわしをしないことです。
パスワードが漏れる前提で考えても、どこかで万が一にも漏れても、異なるパスワードならば芋づる式にアカウントの乗っ取りは回避できますよね。
