"Szerintem teljesen oké, hogy belerakom az általam használt 2FA programba, a többi közé."
Ahonnan ha olyan, akkor egy rosszindulatú kód, támadó el is viheti - úgy, hogy észre sem veszed - csak azt, hogy valaki valamit csinált a te nevedben, 10%-ban a te felelősségedre.
"A 2FA annyival jobb a jelszavas védelemnél, hogy nem tudod felírni valahova, mert állandóan változik, és nem kiszámítható"
A 2FA shared secret nem változik, abból készül egy jól definiált f(shared_secret,time) függvénnyel a 2FA-s kód, azaz de, a shared secret ismeretében kiszámolható. Ahogy például a jelszó ismeretében kiszámolható a sózott hash, amit aztán a túloldal összehasonlít a nála letárolttal.
"De ha nagyon kell, még mindig meg tudod osztani mondjuk a könyvelővel, hogy be tudjon lépni a nevedben."
Pontosabban tetszőleges tevékenységet el tudjon végezni a te nevedben úgy, hogy azért 100%-ban te és csak te leszel a felelős. (Az, hogy az ilyen használat a felhasználási és jogi feltételekbe ütközik, az csak hab a tortán) Adott tevékenységre/ügykörre kell az ő identitásának meghatalmazást adni, nem odarakni elé egy paksaméta általad aláírt üres A4-es papírlapot, hogy azt írjon rá, olyan tanúkkal tanúztatva, amit és amilyenekkel csak szeretne. Az identitásod átruházása/megosztása ugyanis ezzel egyenértékű.
"Az a feladata, hogy bizonyos esetekben helyetted, a nevedben járjon el."
Erre való a meghatalmazás.
"Nagyon kevés az a use case, ahol hardverkulcsra van szükség. Ráadásul azt is oda tudod adni másnak."
Van egy lényeges különbség: a hardveres tokenből alapvetően egy példány létezik (igen, ha két tokent raksz be adott mondjuk google fiókhoz, akkor az bizony két hozzáférési kulcsként lesz kezelve), azaz ha átadod neki, akkor valóban ugyanúgy történik, mintha a teljes identitásodat (egy csomag aláírt A4-es lap) adnád át, de úgy, hogy közben neked ideiglenesen megszűnik a hozzáférésed, mert az azt biztosító eszköz nincs nálad, kikerült a felügyeleted alól - és a másik fél azt csinál vele, azt tesz a nevedben, amit csak akar. Ha adott identitáshoz kettő tokent raksz be, akkor meg ugyan meg lehet különböztetni, hogy adott bejelentkezés melyik kulcs használatával történt, de ettől függetlenül a tevékenységért az a felelős, akihez a használt identitás tartozik. És ugye ha lopják a hardverkulcsot, akkor azt remélhetőleg észleled, és le tudod tiltani, ha a shared secret-et viszik, akkor csak "esemény után" fogod sejteni, hogy na azt nem te csináltad, ergo kompromittálódott a hozzáférésed.