"Androidon nem látja másik alkalmazás."
Ott igen, de mivel a shared secret mire oda eljut, egy stringként letárolható máshol is (és nem egy nem két itteni hozzászólásban szó volt róla), amit sokan meg is tesztenk, mert "gúglifúj" - és ott van a random totp alkalmazás mellett simán, védelem nélküli fájlban a gépén. Erre ugyanis adott a _lehetőség_.
"2FA esetében nem fogja senki a secret-et felfirkálni a billentyűzet vagy a monitor aljára. A jelszavakkal ezt rendszeresen megtesszük."
Ha a randomtotp.exe mellé kell odarakni sgaredsecret.txt formában, akkor máris egy elektronikus sárga cetlin van felírva... És ezt sokan meg is teszik.
"Meghatalmazás: baszhatom, ha nem tud belépni az ügyfélkapumba."
NEM kell felvennie az identitásodat az ügyfélkapuban, nem is szabad megtennie - adott ügykörre te tudsz neki meghatalmazást adni, és abban az esetben a saját identitását használva végezheti el az (és csak azt) a tevékenységet, amire meghatalmazással rendelkezik. (HInt: egy kupac aláírt A4-es papírt is minden további nélkül a kezébe adnál, hogy azt és akkor írjon az aláírásod fölé, amit és amikor csak akar, és a tanuztatást is rábízod? Ugyanis az ügyfélkapus identitásodat odaadni ezt jelenti. Meg azt, hogy az egészségablakban is tud nézelődni, látja milyen orvosi ellátásokat vettél igénybe, milyen gyógyszereket kaptál... Minden szempontból a te jogosultságaiddal és teljes mértékben a te felelősségedre tud bármihez is hozzáférni ebben az esetben.
Az üfk jelenleg még működik sima totp-vel, de ugye a dáp-os login a preferált, illetve remélhetőleg az üfk+ (totp, e-mail-es baromság) a dáp-os azonosításhoz képest kevesebb jogosultságot fog adni a jövőben.