Je hebt een klacht over de onderstaande posting:
Door Anoniem: De aanvaller, die gedurende korte tijd de smartphone (of hardware token) in handen heeft Tja, in dat geval kan de aanvaller ook per direkt inloggen. Voordeel is dat de meeste threat actors nimmer je hardware token in handen hebben. Ik heb, toen ik nog consultancy-klussen deed, vaak sleutelbossen met hardware-tokens op bureau's (ook flexplekken waar lang niet iedereen elkaar kent) zien slingeren terwijl de eigenaar niet op diens plek zat (lunch, meeting, toilet, roken etc). Na schoudersurfen voor het wachtwoord (of eerder een keylogger te hebben geïnstalleerd), heb je maar weinig tijd nodig om zo'n toekomstige TOTP-code te achterhalen. Dat is veel minder opvallend dan zo'n token stelen of er direct (ter plaatse) mee inloggen. Is dit een groot risico? Nee, want de kans is klein (het gebeurt natuurlijk niet vaak). Maar kun je zoiets uitsluiten? Nee. En de impact zal vaak groot zijn, je hebt immers niet voor niets 2FA met een hardware-token. Overigens zou een smartphone met TOTP-app wel eens ...
Beschrijf je klacht (Optioneel):