Suppongo che tu stia parlando di un dispositivo mobile di qualche tipo che visualizza o trasmette una password monouso derivata da un segreto condiviso e l'ora o un contatore condiviso. Tali dispositivi si dividono in tre categorie:
- Un dispositivo autonomo con display.
- Un dispositivo autonomo con un'interfaccia USB (o altra) a cui è necessario accedere tramite un computer.
- Un dispositivo generico come un telefono cellulare.
La sicurezza relativa dei vari tipi di dispositivi dipende dal modello di minaccia.
La minaccia più ovvia è che un utente malintenzionato ruba o prende in prestito il dispositivo. In questo scenario, non importa quanto sia difficile estrarre la chiave dal dispositivo: l'hacker deve semplicemente essere in grado di usarlo nel solito modo.
L'hacker deve solo estrarre la chiave se vuole essere in grado di autenticarsi in seguito, ma vuole che il suo potenziale di accesso non venga rilevato. Con questo obiettivo, l'utente malintenzionato deve ottenere l'accesso temporaneo al dispositivo, estrarre la chiave e quindi restituire il dispositivo al proprietario. Dopo questo, l'utente malintenzionato può passare inosservato fintanto che non effettua connessioni troppo frequenti all'account se l'OTP è derivato da un contatore o indefinitamente se l'OTP è derivato dal tempo.
La sicurezza della chiave contro un utente malintenzionato con accesso fisico è importante solo se si desidera proteggere dall'accesso nascosto. Un dispositivo standalone può avere una protezione migliore contro gli attacchi fisici rispetto a un telefono cellulare, tuttavia tale protezione costa denaro e i token di autenticazione sono di solito un articolo a basso costo. I telefoni cellulari di fascia alta hanno una protezione limitata contro gli attacchi fisici; ad esempio, non è così semplice estrarre i dati da un iPhone. La maggior parte dei telefoni cellulari contiene inoltre una scheda SIM , che è resistente alla manomissione; alcuni provider OTP possono installare la chiave OTP sulla SIM. Alcuni telefoni cellulari contengono un elemento di sicurezza incorporato, simile alla SIM ma controllato dal produttore del dispositivo anziché dall'operatore di rete.
La maggior parte dei token OTP mostra l'OTP con la semplice pressione di un pulsante. Un telefono cellulare ha la possibilità di richiedere l'autenticazione (PIN, pass-gesture, ...). Quanto questo migliora la sicurezza dipende dal fatto che il telefono venga rubato sbloccato e quanto sia strong l'autenticazione.
C'è una minaccia in cui il telefono cellulare ha un leggero vantaggio: che l'utente perderebbe il token. Questo è in aggiunta al vantaggio di usabilità di avere un singolo dispositivo. Un utente che ha molti token OTP ha più probabilità di perdere uno di loro, o di non notarne il furto per un po ', di quanto probabilmente non si accorga del suo cellulare.
Una minaccia diversa è quella del malware sul dispositivo. I dispositivi standalone sono praticamente immuni, supponendo che fossero puliti quando l'utente li ha ottenuti. I telefoni cellulari sono vulnerabili; un utente malintenzionato che può installare malware che recupera token OTP ottiene l'accesso remoto alle password monouso. I dispositivi senza il proprio display sono altrettanto vulnerabili al malware sul computer in cui sono collegati, sebbene questo malware sia in grado di ottenere un OTP solo quando il dispositivo è connesso.