定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう (クレデンシャルスタッフィング) フィッシングサイトの中継により、ログインセッションが盗まれてしまう(MiTM, AiTM) OTP、TOTP、認証アプリなどの認証を追加してもやられてしまう 前者については明示的ですね。そもそもSMS OTPは認証イベントに紐づいていますし、TOTPは時間に紐づけられています。なので前者のような再利用の課題へは元から対策されているとも言えます。Webアプリケーションやネイティブアプリが正規なものに対してのみパスワードが入力されるような仕組みが必要とされていたわけ