Igen, ezért is írtam specifiikusan, hogy a TOTP az, ami kijátszható. Amin gondolkozok, hogy a kliens certificate alapú authentikáció (mTLS), mondjuk smart carddal, az vajon kijátszható-e. Most így első gondolatra azt mondanám, hogy azzal kivédhető a man-in-the-middle próbálkozást. Hiába authentikálsz a fake weboldalhoz kliens cert-el, az nem tud tovább authentikálni az igazi weboldalhoz a te kliens certeddel, legalábbis úgy nem, hogy lássa/módosítsa is a tartalmat.