Una cosa de la que te estás confundiendo es que te estás combinando con diferentes teatros de seguridad. En su lugar, veamos puramente la web y luego solo el teléfono.
El teatro web
Con la web estás sujeto a personas que intentan hackear tu cuenta de forma aleatoria. Esto está protegido por una contraseña (algo que usted sabe) y un nombre de usuario (algo que tiene). En este caso, si alguien recibe el nombre de usuario, puede comenzar a atacarte y eventualmente obtener tu cuenta.
Ahora vamos a agregar una segunda contraseña. ¡HURRA! Ahora tienen el doble de entropía. Pero sigue siendo algo que sabes (estático). En cambio, vamos a cambiar esa contraseña a algo dinámico. Ahora, CADA vez que el dinámico cambia, tienen que volver a empezar porque tienen que volver a intentar cada combinación de código dinámico y contraseña en existencia una vez más.
Eso no vale la pena intentarlo y penetrarlo. Solo DDOS será un servidor, y si el servidor está configurado correctamente, no podrá DDOS.
El final del teléfono
Bien, ahora alguien tiene tu nombre de usuario y teléfono, y estás encerrado en un sótano ... y te han golpeado hasta que les has dado las contraseñas ... y solo estás llorando y esperando La policía aparece y te salva ...
La verdad del asunto es que la parte dada (en su teléfono) se mantiene físicamente segura por usted. Si le preocupa la seguridad física, probablemente ya debería estar en los pasos para hacer algo al respecto (como no prestarlo, no mostrar el contenido de las notificaciones en la pantalla de bloqueo (una opción en la mayoría de los teléfonos inteligentes), y si lo recibe). es por SMS y alguien lo ve, todo lo que ven es una cadena. No saben para qué sirve.
Sin embargo, si saben para qué sirve, ya se les ha prometido porque conocen su nombre de usuario. Si alguien más conoce tu nombre de usuario, estás haciendo algo incorrecto, y este no es el problema. Tus propios hábitos físicos son.
¿Qué pasa con los pines de conexión activa?
El problema es que el teléfono está haciendo la comunicación y, como tal, si alguien está escuchando el teléfono y realiza un MITM solo en el teléfono, puede acceder a la cuenta. La generación sin comunicación es mucho más segura porque alguien no puede escucharla. Habrían tenido que haber estado escuchando la configuración inicial (nuevamente separados sin comunicación) para haber obtenido el pin para generar el código sensible al tiempo. Nuevamente eso entra en el escenario de un sótano. Allí me preocuparía mucho más mi seguridad física que la seguridad de mi cuenta.
¿Qué pasa con los códigos generados?
¿Qué sucede si miro un teléfono y veo '8675309 enviado 98jdff712hfg' en la pantalla? Qué significa eso? No sé con qué servicio está asociado ese número (generalmente de un conjunto de números que gira al azar o es usado por muchos servicios). La única forma en que esto hubiera tenido sentido es si estuviera sentado sobre su hombro y viendo el proceso de inicio de sesión ENTERO. Una vez más, eso es algo mucho más aterrador y probablemente lo estarías buscando al ingresar los datos.