Io sapevo che la chiave generava il codice a partire dall'orario (precisione al minuto, non al secondo quindi non importa il quarzo...) e che il server visto l'account richiedente va a pescare che algoritmo usa quella "chiave", guarda l'orario e genera (in teoria) lo stesso codice, se corrisponde si accede, sennò nisba!

A quanto pare tempo fa era saltato fuori che alcune banche usavano lo stesso algoritmo per vari account rendendo la cosa molto meno affidabile.