Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve
Nálad tudjuk, hogy ez azt jelenti, hogy kötelező okostelefon-használat.
Amúgy pont most jött szembe velem egy Allianzos 2FA - webes bejelentezés után kirak egy QR kódot, és hogy használjam okostelón a Google Authentikátort. Miközben a QR kód nem más, mint egy URL TOTP seeddel, így egy QR kód olvasó és az oathool --totp -b XXX paranccsal máris megvan a 2FA kódom. Itt miért köteleznek az okostelóra? Miért nem mutatja meg a TOTP seedet a QR kódon kívül? Security by obscurity, nem más ez.