Sziasztok, Mindenki!
Köszönöm a válaszokat, ha nem is értek egyet, akkor is köszönöm, hogy időt áldoztatok a kérdésre.
Mindenki más irányból közelíti meg a kérdést, plusz vannak félreértések is, bár több esetben is definiáltam az okokat.
1. Nem akarom feltörhetetlenné tenni az aplikációt, mert az lehetetlen
2. Attól, hogy van egy trendi, sokak által használt megoldás, nem jelenti azt, hogy nekünk is az lesz a megfelelő
3. Nem vagyunk bank, de nagyobb cégről van szó, sok ügyféllel és a felsőbb szervek 10 milkós büntiket tolnak be ha csak nem tetszik az arcunk. Ha jogi oldalról kell megvédenünk magunkat, akkor egy magyar hivatal k.ra nem érti meg mi a pöccsenet az a token, de azt felfogja, hogy ott egy kulcs a telefonon amit én soha nem fogok látni, a certben pedig a user adatai vannak amivel azonosítja magát.
4. OTP sms-t küld, CIB mobil app-ja sms-ben adja meg az aktiváló kódot a regisztrációnál. Emlékeim szerint a telekom is küld sms-t. Nekem most még sms szerver nélkül kell dolgoznom. Ha lenne sms szerver, akkor már jobban védhető a dolog, mert lehet adatot küldeni ami valóban a telefonra érkezik meg.
5. Nekem és az app fejlesztőknek is egyszerűbb lenne a token, saját app-hoz azt használnék.