In diversen Fäden - bevorzugt im Broker-Umfeld - flammen momentan immer wieder Diskussionen zur (Un-)Sicherheit aktueller (Zwei-Faktor-)Authentisierungs-Mechanismen und entsprechenden Nutzungsvoraussetzungen auf.
(langgezogenes Beispiel im ING-Faden)
Die Hauptkritik richtet sich dabei gegen eine empfundene relative Unsicherheit zwischen aktuellen "Kombi-Apps" (Banking/Brokerage + Authentisierungswerkzeug in einer App) und in der Vergangenheit weit verbreiteten Verfahren, bei den
Fundamental das gleiche Problem -> korrekt
Praktisch (wie du schon selbst darlegst) macht es aber einen (im wahrsten Sinne des Wortes) fundamentalen Unterschied.
Der USB-Stick an sich ist dann kein TAN-Generator; so eine TAN ist heute ja auch nur ein "Kommunikationsartefakt", um irgendwie die Information "ist i.O." zwischen Papier/Gerät oder Geräten durch den Menschen transportierbar zu machen.
Für das, was die Apps konzeptuell leisten müssen, gibt es heute vielfältig