Akkor egy faék, neked is megérthető módon megpróbálom... Az user/pass megosztása, nagyon egyszerű, az érintett legfeljebb(!) egyszeri közreműködése szükséges hozzá, ezt követően a nevében tetszőleges tevékenység, illetve jognyilatkozat, kötelezettségvállalás tehető. Az user/pass/QR-kód megosztása egyszerű, az érintett egyszeri közreműködése szükséges hozzá, ezt követően a nevében tetszőleges tevékenység, illetve jognyilatkozat, kötelezettségvállalás tehető. A DÁP-os identitás megosztása bonyolult (bár megoldható, pl. a 2. faktoros képernyő megosztásával), az érintett közreműködése szükséges hozzá, és csak adott session-re korlátozódik, aminek során a nevében tetszőleges tevékenység, illetve jognyilatkozat, kötelezettségvállalás tehető. Az "odaadja a telefont" dolgot most hagyjuk ki, mert az okirattal történő visszaélés annak a részéről, aki felhazsnálja az így kapott DÁP-ot.
Az SMS-es második faktorral _nem_ szorítható vissza a megosztás, mert nincs olyan megszorítás, hogy egy mobilszám csak egy identitáshoz tartozhat egyszerre, illetve az így kapott, kódot nagyon egyszerű továbbadni.
Egy QR-kódot (akár azt, amit a TOTP aktiválásakor kap, akár azt, amit a GA mutat fel akkor, amikor adott identitáshoz tartozó elemet menteni/másolni szeretné az érintett) megosztani nem nagy truváj, nem kell hozzá hat diplomás NASA-mérnöknek lenni. És a TOTP secret az egy darab QR-kód. Az hogy mi van benne, hogyan lehet emberi fogyasztásra alkalmas formára hozni, az irreleváns.