sdellenb bist Du Dir da sicher? Kundennummer?
janxb hast Du eine alternative zu dem genannten URL?
z.B. https://chart.googleapis.com/chart?chs=400x400&chld=M|0&cht=qr&chl=otpauth://totp/PayPal:max.mustermann%40moritz.com?secret=HUGO007&issuer=PayPal
ich selbst nutz das um die so erhaltenen QR-Codes zu 'normen', sprich dass ich dann wirklich im OTP-Generator sehe, was ich sehen will;
was die Datensicherheit bei Google angeht muss man hier unterscheiden;
die Daten die z.B. jemand in seinem Gmail Account liegen hat, gelten grundsätzlich als unsicher - Brute Force und ab die Post;
hingegen die Daten, welche Google generiert - es wurden die Logs angesprochen - die sind sicher;
spätestens wenn jemand Passwort-Safes udgl. verwendet wo die Safe-Datenbank ohnehin im Internet liegt - klar mit primitivsten Mitteln abgesichert - ist es eher witzlos;
und die Schwachstelle sitzt sehr oft auch dahinter, die Problematik mit der rethorischen Frage erklärt:
"was nützt Dir die sicherste Kommunikation mit der Bank, wenn die Bank selbst Dein Geld veruntreut?"
der Einwand, diese QR-Codes lokal generieren zu können, was meint ihr wie unsicher 2FA damit wird, wenn Sites, sich an Stelle von APIs wie z.B. dem kritisierten URL zu bedienen einfach nur Text präsentieren, und dem Benutzer auftragen, sich das lokal darstellen zu lassen, oder manuell einzugeben;
ich wette dass es dann genug gibt, die sich so doof anstellen, dass deren Secrets auf Fratze, Zwitscher und sonstigen Nachrichtenseiten landen;
jetzt mal ehrlich, hätt hier netcup einfach einen Apache Host z.B. chart.netcupapis.de gemacht, welcher als 1:1 Proxy zu dem Google Host fungiert, und dann folgenden URL https://chart.netcupapis.de/.... im CCP verwendet, hätt niemand was gesagt;
ich bin durch diesen "Unfall" auf dieses Feature erst aufmerksam geworden;