Értelek, egyről beszélünk, csak kicsit árnyalni akartam a képet. Arra akartam utalni, hogy ha az autentikátor külön álló szerv az OS-től és böngészőtől függetlenül, az sem egész jó megoldás, mert azt is felnyomhatják, tehát megint csak egyben szerzik meg az összes belépést.
Nincs mese, az OS-nek megbízhatónak kell lennie, különben nincs miről beszélni.