Las contraseñas de un solo uso son un concepto para realizar la autenticación de dos factores. Algo que el usuario sabe (contraseña) y algo que el usuario tiene (OTP Generator).
La contraseña única es la prueba de la posesión. En este caso, la "prueba de posesión" funciona así:
La contraseña de One Time es generada por un algoritmo como HOTP (RFC4226) o TOTP (RFC6238) basado en una clave kriptográfica secreta y algún factor de movimiento.
El usuario solo es capaz de presentar la contraseña de una sola vez correcta si está en posesión de la clave secreto .
Esta es la razón por la que debe ocuparse de esta clave secreta y sospechar de las aplicaciones de teléfonos inteligentes para OTP como Google Authenticator .
Pero el concepto básico de OTP es el mismo que hacer criptografía de clave pública con respuesta de desafío.
La posesión es la posesión de una clave secreta o privada .
OTP utiliza una clave secreta y no una clave privada , ya que el usuario debe ser capaz de escribir el resultado (valor OTP). Usando una clave privada , esto no sería posible, ya que el resultado de la operación de la clave privada es demasiado largo.
Un escenario clave privado siempre necesita el hardware para conectarse a la máquina (consulte Inicio de sesión con tarjeta inteligente). ... y esto requiere controladores y conectores. (Prueba esto con el iphone 11 ;-)
Así que sí, creo que el concepto básico de OTP - a.k.a. usando una tecla secret - seguirá existiendo por un tiempo.