>Dříve totiž bylo potřeba přepsat kód vygenerovaný aplikací v mobilním
>telefonu (tzv. OTP – one time password), nyní je výměna kódu
>obsloužena automaticky a uživatel jen v aplikaci potvrdí, že se kód na
>mobilu s vyplněným v prohlížeči shoduje. Toto moze byt osemetne. Ktory utocnik nepotvrdi zhodu?Problem 1:
Aplikacia len stiahne kod vygenerovany v skripte prehliadaca a poslany na server. Tym je zabezpecna vymena kodov -cele zle, lebo tym sa zrusi druhy faktorProblem 2:
Aplikacia vygeneruje kod a posle ho na server a tenm ho vyplni- potencialne zle. Co ak bezi aplikacia v telefone, alebo generovanie je service? Ako je zabezpecne, ze sa o autentifikacii dozvie osoba,ktorej mobil kod poslal? Jedine ak sa otvori aplikacia a pozaduje sa suhlas. Ale na to nepotrebujem OTP? staci, ked posle mobil na server nejaky hash nejakej spravy...