AES random inicializálást illetően belefuthatunk a Bullrun témába[1], hogy pontosan hány bit az annyi valójában.
"Különbség csak ott van, hogy az egyik esetben a sebezhetőség 1-2 percig áll fenn maximum, a másikban meg amíg be nem lépsz megint - gyakorlati szempontból mindegy." [..] " Annyit ír le, hogy abban az esetben, ha egyszerre több bejelentkezési próbálkozás is jön (gyakorlatilag replay attack van épp)"
Innen a preferenciám az "interaktív" (gyakorlatilag 1 percen belüli) visszajelzésre az egyidejű belépésnek a totp esetében.
Bocsánat, az ARM és USB stack yubi vektor[2] felvetése a YubiHSM-re vonatkozik, nem a standard kulcs Cypress(???) USB mikrokontrollerre vagy utódjára (netán armv3? nemtom, azt sem, hogy az min lógna). De a NEO kulcs tamperproofabb Mifare Classicja sem kelt bennem nagyobb bizalmat (az NXP Crypto-1 miatt láttam már tömeges kártyacserét).
[1] https://www.schneier.com/blog/archives/2013/09/surreptitiously.html#c17…
[2] maga Simon Josefsson is elismerte, hogy nem volt része az auditnak
ps: http://xkcd.com/386/
ps/2: http://jjshortcut.wordpress.com/2011/09/26/webkey-hack/