Estoy desarrollando una aplicación de autenticador para usarla con mi propia API. Conozco el estándar TOTP RFC 6238 y la variante HOTP. Aunque preferiría utilizar una solución basada en clave pública / privada (solo almacenando la clave pública en el servidor).
¿Cuáles son algunas alternativas más o menos estandarizadas?
¿Un esquema de respuesta de desafío inventado en casa con un par de claves pública / privada está sujeto a ataques (en el contexto de un canal seguro HTTPS)?