Majd akkor beszéljünk erről, ha ez megtörténik. A sima usernév/jelszó is jóval tovább bírta, mint kellett volna, miközben az e-személyis hardvertokenes login is működött már, ami az elvárható biztonsági szintet bőven hozta az egy és csak egy példányban létező eszköz birtoklását és annak használatához szükséges kód ismeretét igénylő működés által. Ez utóbbit sajnos kivezetik, és a 2FA-t tudó üfk+ lesz csak, ami egy az e-személyinél gyengébb shared secret-es TOTP-t és az eID használatát igénylő outband challenge-response működésű második faktort tud. A "sima" shared secret esetén elegendő információt "lopni" (user/pass/shared secret) az adott user megszemélyesítéséhez, az eID esetén adat (pin) és _egyszeri_ fizikai hozzáférés az illető megfelelő e-személyiéhez szükséges a megszemélyesítéshez. (A telefonban "tárolt" identitás adattartalmát ha el is tudná vinni valaki, az szinte biztosan deviceID-hoz van kötve, úgyhogy deviceID-t is kell hazudnia a "hamis" eszközön, plusz ez Btk.-ban már az okirathamisítás és környéke által leírt cselekménynek _is_ minősül, a TOTP shared secret ellopása és jogosulatlan felhasználása meg nem...)
Mivel az üfk+ és az azt használó állami és egyéb szolgáltatások kizárólag plusz lehetőségként adottak az ügyintézéshez, így igen, választhatod a kényelmet megfelelően erős biztonságot nyújtó eID-t vagy a kevesebb, de (még!) elegendően biztonságosnak tekintett shared secret-et alkalmazó TOTP-t is, mint 2. faktor. Ha egyik sem tetszik, vagy a shared secret+TOTP biztonságát eme kényelmi szolgáltatást nyújtó entitás nem fogja elégségesnek tartani, akkor kivezeti - ugyanúgy, mint a sima usernév/jelszó megoldást.
Hogy mi lesz helyette az eID mellett? Jó kérdés, de ezen a folyón majd akkor keljünk át, ha odaértünk. Előre rettegni fölösleges.