A shared secret-et ugyanúgy védeni kell mint egy jelszót (vagy privát kulcsot, vagy bármilyen egyéb faktort) ettől még nem lesz kevésbé második faktor, mert ez minden faktorra igaz. Hogy bizalmat hogyan építünk a felhasználó felé, erre egy módot ismerek: common criteria audit, publikussá téve a felhasználóknak. Itt egy független külső fél fogja ellenőrizni hogy a cég által leírtak megfelelnek-e a valóságnak... legalábbis az audit időpontjában.
A birtoklásos történetre a fizikai kulcsot szokták példának hozni, csak ugye van minden plázában ez a szolgáltatás, hogy is hívjuk, ja, megvan, kulcsmásoló... Szóval ettől a koncepcionalizációja nem változik, legalábbis szerintem.
A TOTP előnye hogy te nem osztod meg a másik féllel a shared secret-et, hanem csak az abból generált kódot. Így ha be is írod egy lopó oldalra, az eredeti titok nem fog kiderülni. Van még egy előnye, ez pedig az időhöz kötöttség, tehát ezzel is csökkentjük a támadási ablakot.
Hogy ez elegendő védelem-e, azt egy security audit során vizsgálja az ember, lehetőség szerint ne utólag 🤣