Ez egy nagyon jó kategorizálási kérdés és erről egy csomót beszélgettünk annó. Oda jutottunk hogy a TOTP egy valid birtoklás alapú (a kategorizálás nem fizikai, hanem birtoklásról szól, posession) faktor AMENNYIBEN a felhasználó ezt egy külön eszközön (pl. mobil alkalmazásban) tárolja és ennek a védelmét biztosítja (pl. olyan alkalmazást használ ami biometrikus azonosítást igényel a kódokhoz való hozzáféréshez). Ezt szabályzatban érdemes előírni.
Ebben az esetben nézzük a pontjaid:
- nem kell fizikai eszköz: de kell, előírod
- nem kizárolagosan az érintett férhet hozzá: de, előírod
- megismerhető a harmadik fél által: csak ha megosztod vele, éppen úgy, mint ha felírod a jelszavad egy papírra
Kaspersky-nek van erről egy elég hosszú leírása egyébként.
https://www.kaspersky.com/blog/types-of-two-factor-authentication/48446/
https://www.kaspersky.com/blog/authenticator-apps-and-security/47426/