Hai ragione, questo non è efficace nel caso in cui il dispositivo venga rubato - hai bisogno di una buona autenticazione locale come pin, password, passphrase e potenzialmente dati biometrici.
Tuttavia queste soluzioni OTP non stanno cercando di affrontare quella minaccia. Hanno lo scopo di impedire a qualcuno di tentare di accedere a un servizio indovinando nomi utente e password o utilizzando nomi utente e password rubati da altre parti (ad esempio tramite keylogger, database dump, ecc.).
Ad esempio:
- Il sito Web XYZ viene violato e i nomi utente e le password vengono violati e pubblicati online
- Ottengo la lista e provo ognuna delle credenziali sul sito web di ABC
- Spesso gli utenti useranno gli stessi nomi utente e password e accederò ad alcuni account
- Tuttavia, se il mio account sul sito ABC è collegato a un numero di cellulare e utilizza un SMS per l'autenticazione, il mio nome utente e password non consentono di compromettere il mio account ABC a meno che non sia possibile intercettare anche gli SMS