Irjuk már fel a támadást, mert úgy lehet érvelni :D Ha a támadás az hogy fizikailag ellopják az eszközt, akkor ez ugyanaz a mobil és a hw token esetében. A mobilnál még át kell menni a pinkód/ujjlenyomaton is, és akkor esetleg elérheted a TOTP programot, aminél ha olyan, akkor megint van egy ujjlenyomatos védelem. A HW token esetében semmi ilyesmi nincs, van egy gomb amit megnyomsz ami generál egy kódot.
A TOTP shared secret-et normál esetben nem fogod tudni kiszedni a mobilból, mert az alkalmazások nem férnek hozzá egymás területéhez. Nyilván lehet olyan támadást építeni amivel ezzel ki tudod szedni, de ez adott személlyel szembeni nagyon célzott támadásnak kell lennie.
Ha a támadó be tudja szúrni magát egy adathalász oldallal (amit viszont bármelyik 14 éves diák össze tud hozni, ellentétben a fenti támadásokkal) akkor tök mindegy hogy honnan irod be a TOTP kódot, vagy akár az SMS-t, a támadás sikeres lesz.
Ha webről akar valaki bankolni, akkor az egyetlen biztonságosnak tűnő megoldás hogy ha van egy alkalmazás amely lényegében egy certificate pinning-et megvalósítva csatlakozik a bankhoz és ellenőrzi hogy a tanúsítvány megegyezik. Ezt mintha régen úgy csinálták volna hogy fel kellett telepíteni egy plugint amely egy kártyán tárolt cert-et felolvasva összehasonlította a weboldal és a kártya cert-jét, és ha megegyeztek, akkor engedte a bankolást, különben nem.