Hlavní rozdíl oproti autentizaci časově omezeným heslem (z generátoru v telefonu) je obousměrnost.
Hardwarový secure element totiž příjme požadavek serveru a vrátí jej zpět privátním klíčem zašifrovaný ke kontrole na serveru. Server nakonec ověří shodnost pomocí veřejného klíče.
Neviděl bych v tom až tak propastný bezpečnostní zisk — časově omezené hesla mají platnost typicky 30 sekund a nejsou tak dlouhodobě zneužitelná k čemukoliv. A „man in the middle“ v obou případech bude krást spíš data než hesla, čemuž by měla bránit validace certifikátů TLS.