Hai raggiunto un punto dolente; l'utilizzo di dispositivi intelligenti come le credenziali di tipo qualcosa-tu-hai ha alcuni svantaggi.
Come sottolineato, il dispositivo intelligente spesso svolge un ruolo attivo nel processo di autenticazione oltre ad essere la credenziale del secondo fattore. Questo non è tanto un problema come potrebbe sembrare. Lo scopo di utilizzare il tuo dispositivo intelligente come qualcosa-tu-hai è che l'aggressore debba entrambi rubare il dispositivo e simultaneamente avere accesso alla tua password per poter accedere al tuo account. Questo è ancora vero, anche quando il dispositivo sta eseguendo entrambe le parti dell'autenticazione, ma hai ragione a metterlo in discussione, in particolare se memorizzi la password sul dispositivo. In questo caso l'autenticazione a doppio fattore diventa un fattore singolo: il dispositivo.
L'altro motivo per cui i dispositivi intelligenti fanno cattive credenziali è che hanno uno stack software e tipicamente eseguono applicazioni di terze parti. In altre parole, hanno malware. Un dispositivo intelligente infetto da malware equivale a un dispositivo furto rubato in termini di utilizzo come credenziale.
Il malware può istigare il login, attendere e catturare gli SMS / le notifiche in arrivo e leggere il codice del secondo fattore per completare il login. Nei casi più estremi, ciò avverrà all'insaputa dell'utente.
Quindi, in breve, non preoccuparti troppo: il fatto che tu sia a conoscenza di questo problema è grandioso, assicurati solo che il telefono non memorizzi la password o fornisca l'accesso automatico - il blocco dell'app non è sufficiente, come l'attaccante può comunque leggere direttamente la password memorizzata dall'hdd del telefono.
E quando è richiesta una vera sicurezza, usa i token hardware che non possono essere sovvertiti, come i token TOTP / HOTP. Detto questo, usare lo smart-device è molto meglio che non avere alcun secondo fattore.