Digamos que tengo dos sitios web con mecanismos 2FA que son idénticos.
Mecanismo 1
Debe ingresar un PIN en su Generador de token para poder recuperar su contraseña de One Time. En el sitio web, usted usa su contraseña y la OTP sola para iniciar sesión.
Mecanismo 2
Por otro lado, se puede acceder a la OTP simplemente teniendo físicamente el dispositivo. En el sitio web, ingrese su contraseña y luego [PIN] + OTP.
Me pregunté si habría una diferencia demostrable en la seguridad proporcionada por estos dos métodos. ¿Son iguales y es puramente una elección de diseño, o hay otras consideraciones que hacer?
Por ejemplo, me queda claro que en el Mecanismo 2 es al menos posible que el PIN sea interceptado electrónicamente. Después de lo cual, un atacante solo necesitaría acceso temporal a su Generador de token para iniciar sesión. Pero entonces, si el atacante es físicamente local, probablemente podrían obtener su PIN de alguna otra manera (CCTV, navegación por los hombros, etc.)