Az, hogy a Google csinált egy alkalmazást, ami a TOTP funkciót nyújtja, az annyit jelent, hogy ők rakták össze Android-os telefonokon lehet használni, de ennyi köze van a Google-nek hozzá, semmi több.
"Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!" - Azt írtam, hogy az eszközödön _kívül_ nem tárol semmit. Értő olvasásból elégtelen. Az idő alapú egyszer használatos jelszóhoz kell egy adathalmaz, ami alapján az időtől függő egyszer használatos (helyesebben megadott rövid ideig (legfeljebb percekig) érvényes), azonosításra szolgáló kódot (hat jegyű szám) ki tudja számolni.
"Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű." - Olvasni, tájékozódni kéne a témában - más a "shared" infromáció, illetve más az algoritmus, amit a felek használnak az egyszer használatos kód előállításához.
"Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!" - Ilyen alapon valóban, csak ha megnézed, az SMS célba érkezését semmi és senki nem garantálja...
"Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem." - Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.
Mint említettem volt, semmilyen kommunikációra nincs szükség a GA-t futtató telefon és a külvilág között - oké, ha nem pontos az órája, akkor azt néha helyre kell húzni, de arra a GPS (ami passzív eszköz, azaz csak futásidőt mér, visszafelé nem kommunikál) is tökéletes megoldást ad.