Para respetar la filosofía 2FA, después de un primer factor de autenticación (inicio de sesión / contraseña), debemos solicitar un segundo factor de autenticación.
Pero para una aplicación móvil, supongo que no podemos usar SMS OTP, correo electrónico OTP o TOTP (con otra aplicación móvil) porque se puede acceder a todas estas técnicas desde el mismo móvil.
Por lo tanto, para una aplicación móvil, ¿el único segundo factor autorizado es un dispositivo separado (por ejemplo: Yubikey, Nitrokey, etc.)?
¿Es suficiente si solicitamos algo que conocemos (ID de usuario + código PIN hexadecimal) y algo que tenemos (solo este dispositivo móvil)? Hay una clave privada ECDSA instalada en el dispositivo y el servidor puede verificar si es el buen dispositivo móvil con la firma.