"Nagyon kicsi a valódi különbség a között hogy hardware-es vagy szoftveres TOTP generálás van,"
Igen, valóban kicsi: a hardveres TOTP esetén a shared secret nem másolható/lopható el, ahogy a szoftveres toptp esetén sem... Oh, wait... :-) (Igen, van olyan totp megvalósítás (hw/sw környezet), ahol gyakorlati szempontból közel azonos az esélye a shared secret kompromittálódásának, mint amikor az egy tokenben van, ahonnan nem nyerhető ki, de ez nem minden esetre igaz...)
És ugye az sem mindegy, hogy a támadó hova, hogyan ékelődik be az üf. és a bank közé? Csinál egy adathalász oldalt, és ráveszi az ügyfelet arra, hogy ott jelentkezzen be? Ebben az esetben gyakorlatilag mindegy, hogy mit és hogyan használunk 2. faktorként, mert a kapcsolat nincs az ügyfél böngészőjét futtató eszközhöz hozzárendelve, azaz lehet tokenes kód, amit be kell írnia a webes felületen, lehet outband jóváhagyás mobilos app segítségével (és ez a maqyarorszaqponthu esetén is így van a dáp-os jóváhagyással).
Hogy ennek a kockázata mekkora, az jó kérdés - picit beleásva magam a dolgokba, ügyfél által birtokolt hardveres azonosítóeszköz, ami közvetlenül azzal a helyben futó böngészővel "dolgozik együtt", amiből az ügyfél bankolni akar tűnik a valóban megbízható és biztonságos megoldásnak.