2024-05-14T17:31:09 rosti

Problematisch ist es meiner Meinung nach, wenn für alle nachfolgenden Aktionen die eine Authentifizierung erfordern anstelle derer das Token tritt. Denn allein mit diesem Token kann man alles machen wofür man normalerweise Benutzername und Passwort braucht.

Ich halte das für nicht sicher.

ich sehe das auch so.

Das Token is ja sowas wie die Authentifizierung, aber für Authorisierung von Aktionen gibt es danach kein Extra. Deswegen mein Hinweis auf Hardware-Key oder Authenticator-App-Token.
Ist für mich wie eine TAN mittels Hardware-Smartcard (eTan) erzeugt und für jeden Transaktion übermittelt.