Bocsi, hosszú lesz.
Hogy picit a kérdéseidre is válaszoljak:
- A hitelesítő appok pont annyira biztonságosak, mint bármelyik szoftver. Lehet bennük hiba - akár a szoftverben, akár a szoftverfejlesztési folyamatukban, akár a háttérrendszerben, ahová az app ment / dolgozik. Sőt, az appstore-ban is lehet hiba, ami kihasználható.
- Az appok ellenőrzőiről nem sokat tudunk nyilvánosan. Vannak az appstore-ok, amik ellenőriznek bizonyos részeket. Mindemellett egyik appot se láttam eddig, hogy nyilvánosan auditálták volna. Jó lenne, ha ezek az audit jegyzőkönyvek nyilvánosan elérhetőek lennének - és most lóg bilibe a kezem. Másik topicban már pedzegettem a Common Criteria (CC) auditot. Ezen kívül más auditok és plecsnik is léteznek.
- Flame nélkül: az államapparátus kontraszelektált. Nem a legélesebb IT arcok dolgoznak ott - tisztelet a kevés és lelkes kivételnek. A kevés kivétel azok, akik életben tartják az állami / állami kötődésű IT-t. Én pont az államtól várnám el, hogy a legmagasabb minőséget képviselje. Kis pénz + kevés ember + közbeszerzés = kis foci. Én se bízok teljesen az államban, főképp annak néhány képviselőjében. Ezért is kerülöm például a DÁP-ot.
- Okostelefon nélkül is lehet élni. A TOTP tökéletesen működik nélküle. Lehet Ügyfélkapu+-ozni is. Perpillanat. 10-20-30 év múlva ez változhat.