En Suecia, donde vivo, puede utilizar una aplicación llamada BankID para identificarse e iniciar sesión en el sitio web oficial o firmar documentos oficiales. La aplicación utiliza un código de 6 dígitos (números, no alfabeto o símbolos) como su clave. Lo usa al escribir su número de identificación personal (que no es secreto en Suecia, o al menos es muy fácil de obtener) en el sitio web, y luego ingrese el código de 6 dígitos en la aplicación de su dispositivo móvil o una aplicación de escritorio como una volver a reproducir en una ventana emergente con el nombre del sitio solicitante.
Algunos bancos utilizan un tipo de dispositivos TOTP, como este por ejemplo, . El dispositivo utiliza una clave de 4 dígitos como contraseña de acceso. Nuevamente, lo usa al escribir su número de identificación personal en el sitio web del banco, el código de 4 dígitos en el dispositivo, y luego copiar la OTP más larga generada.
Esto es diferente a los procedimientos de inicio de sesión tradicionales que usan 2FA ya que "algo que sabes" es una contraseña muy corta y simple. En el caso del banco, solo tiene 4 dígitos, y si bien supongo que el dispositivo se bloquearía si alguien intentara adivinar la contraseña, supongo que hay una buena oportunidad (ya sea la que sea) para adivinarla, especialmente si obtuvo alguna información al respecto. .
¿Me estoy equivocando? ¿Es más seguro que eso?