Megint csak: nem ebben a rétegben kell megfogni.
"phishing resistant authentication", "passwordless authentication", stb., ezek a kulcsszavak. Ha tótágast állsz, akkor sem tudsz házibarkács módszerekkel csaló weblap nevében triggerelni mondjuk egy passworldess authn-t.