Quindi una cosa su cui ti stai confondendo è che ti stai abbinando a diversi teatri di sicurezza. Cerchiamo invece di guardare esclusivamente sul web e poi solo al telefono.
The Web Theatre
Con il web sei soggetto a tentativi casuali di hackerare il tuo account. Questo è protetto da una password (qualcosa che conosci) e un nome utente (qualcosa che hai). In questo caso, se qualcuno ottiene il nome utente, può iniziare ad attaccarti e eventualmente ottenere il tuo account.
Ora consente di aggiungere una seconda password. SÌÌ! Ora hanno il doppio dell'entropia. Ma è ancora qualcosa che conosci (statico). Invece lascia cambiare quella password a qualcosa di dinamico. Ora OGNI volta che quella dinamica cambia, devono ricominciare da capo perché devono riprovare ogni combinazione di codice e password dinamica ancora esistente.
Questo non vale la pena di provarci. Avresti solo un server DDOS, e se il server è configurato correttamente, non puoi farlo con DDOS.
The Phone End
Okay adesso qualcuno ha il tuo nome utente, e il telefono, e sei rinchiuso in un seminterrato ... e ti hanno picchiato finché non hai dato loro le password ... e stai solo piangendo e sperando la polizia si presenta e ti salva ...
La verità è che la parte indicata (sul tuo telefono) è tenuta fisicamente al sicuro da te. Se hai una preoccupazione per la sicurezza fisica, probabilmente dovresti già essere in grado di fare qualcosa al riguardo (come non prestarlo, non visualizzare il contenuto delle notifiche sulla schermata di blocco (un'opzione sulla maggior parte degli smartphone), e se lo ricevi su SMS e qualcuno lo vede, tutto ciò che vedono è una stringa. Non sanno a cosa serve.
Se sanno già a cosa serve, allora sei già stato pwnato perché conosce il tuo nome utente. Se qualcun altro conosce il tuo nome utente, stai facendo qualcos'altro che non va, e questo non è il problema. Le tue abitudini fisiche sono.
E i pin di connessione attivi?
Il problema è che il telefono sta effettuando la comunicazione e, in quanto tale, se qualcuno sta ascoltando il telefono ed esegue un MITM solo sul telefono, può accedere all'account. La generazione senza comunicazione è molto più sicura perché qualcuno non può ascoltarla. Avrebbero dovuto ascoltare il setup iniziale (nuovamente separato senza comunicazione) per ottenere il pin per generare il codice sensibile al tempo. Ancora una volta questo entra in uno scenario seminterrato. Lì sarei molto più preoccupato per la mia sicurezza fisica rispetto alla sicurezza del mio account.
E i codici generati?
Cosa succede se guardo un telefono e vedo '8675309 ha inviato 98jdff712hfg' sullo schermo? Cosa significa? Non so quale servizio quel numero (di solito da un gruppo di numeri che ruota in modo casuale o viene utilizzato da molti servizi) è associato con. L'unico modo in cui ciò avrebbe avuto un senso è se fossi seduto al di sopra delle tue spalle e osservassi l'INTERO processo di accesso. Ancora una volta è qualcosa di molto più terrificante e probabilmente ti staresti attento mentre inserisci i dati.