Uno dei motivi per cui optiamo per l'autenticazione a 2 fattori è la riduzione dell'impatto dei keylogger. La teoria è che anche se un utente malintenzionato è in grado di osservare il tipo di utente nei numeri di token, non sarebbe in grado di utilizzare queste informazioni, poiché la natura delle password monouso impedisce il loro riutilizzo. Tuttavia, se un utente malintenzionato è in grado di osservare i tasti in tempo reale, ci sarà sempre un breve intervallo di tempo tra il momento in cui vengono digitate le cifre del token e quando viene premuto il pulsante "Invio". Uno strumento di attacco può essere facilmente copiato per trarre vantaggio da questo ritardo per autenticare per conto dell'attaccante.
So che yubikeys invia "Invio" come parte della stringa di caratteri che inviano, ma come risolverlo per i token RSA e Google Authenticator? C'è una soluzione?