この辺りを構築側は考慮すべきでしょうな あとはユニークなパスワードにすることでも。『もしもログイン処理時に二要素認証を要求したなら、それは『入力したIDとパスワードが合っている』ことを攻撃者に伝えることを意味する』:ASCII.jp:ドコモ口座経由の不正引き出しの背景に「進化したリスト型攻撃」 (1/2)