Ya tenemos dos tipos de generadores de OTP: (a) como hardware (token) (b) como software (por ejemplo, el autenticador de Google, RedHats freeOTP) Ahora vi soluciones basadas en el navegador como SecureAuth OTP que está disponible como aplicación Chrome. [< - corrección, gracias JulianKnight por la pista]
¿Existen inconvenientes o riesgos inherentes a la creación de otp dentro de un navegador, a diferencia de las soluciones mencionadas anteriormente?
Existen potenciales riesgos adicionales por el uso de una herramienta basada en navegador.
El principal probablemente sea la seguridad del almacenamiento: dónde se almacenan las configuraciones de OTP y qué tan seguro es eso.
El segundo es que los navegadores ya son bastante complejos y, por lo tanto, pueden tener vulnerabilidades por encima de una herramienta a medida.
Sin lugar a dudas, generalmente los tokens de hardware se consideran más seguros, ya que tienden a ser muy probados. Aunque ha habido algunos fallos notables, por supuesto, y eso requiere la retirada y la reemisión.
Los tokens de software siempre son tan seguros como la plataforma que los aloja, por lo que también debes tenerlo en cuenta.
Lea otras preguntas en las etiquetas web-browser google one-time-password hardware-token