Здравствуйте, wl., Вы писали:

wl.>да, я понял, просто Sinclair писал: "Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая."
wl.>Я неправильно интерпретировал, что код подойдет для приложения Госуслуги на телефоне, а не то, что на компе интернет есть, а на телефоне нет, но телефон всё равно сделает нужный пароль для сайта
Приложению "на телефоне" код не нужен, потому что на телефоне чувствительных данных мало. Портал госуслуг — это ж имба: там тебе и налоги, и работа, и дети, и недвига, и авто, и чего там только нет.
В приложении ничего этого нет; максимум — локальный кэш каких-то данных. Не выходя в интернет, ты от собственности на квартиру через Госуслуги не откажешься.
Поэтому приложения защищаются локальной биометрией, там не нужен никакой "второй фактор". Нужна хорошая реализация secure enclave в платформе и правильное её использование в приложении.