Also, wirklich ein Smartphone? Es geht nicht mit nem normalen Handy per SMS oder so?
Prinzipiell geht es auch mit normalen Handys - soforn sie JavaME unterstützen. Viele ältere Modelle tun das, aktuelle Low-Cost-Handys lassen es zunehmend weg. Allerdings bietet Blizzard selbst keinen Authentikator mehr für JavaME an (wurde Ende letzten Jahres eingestellt).
Entweder man programmiert sich also selbst einen - unter
Battle.net Mobile Authenticator Specification - Wowpedia - Your wiki guide to the World of Warcraft liegt die Spezifikation offen. Oder man schaut im Internet, ob es schon jemand gemacht hat. Allerdings ist da Vorsicht geboten, damit man sich nicht einen Trojaner einfängt. Minimalkriterium sollte offenliegender Quellcode sein, auch wenn das natürlich keine Garantie darstellt, dass die ausführbare Datei nicht doch etwas Anderes enthält. Allerdings ist die Installation inoffizieller oder eigener Anwendungen bei JavaME-Geräten meist recht nervig.
Der Nachteil an JavaME war halt immer, dass es x verschiedene Displayauflösungen gab an die der Authentikator jeweils angepasst werden musste. Deshalb hatte Blizzard bis letztes Jahr einen externen Dienstleister damit beauftragt. Aber selbst der hatte nur das nur für ausgewählte Handymodelle gemacht und zusätzlich kostete der Authentikator deshalb auch etwas Geld. Hinzu kam, dass die meisten der entsprechenden Handybesitzer nur einen Telefontarif hatten und deshalb die Netzanbieter bei Datenübertragungen unverschämt hinlangten. Die Übertragung des Authentikators aufs Handy kostete deshalb einiges, der Betrieb war dagegen relativ vernachlässigbar (es werden einmalig ein paar Bytes bei der Initialisierung übertragen, ansonsten nur, wenn man neu synchronisieren muss - das ist aber alles nicht der Rede wert).
Alternativ kann man natürlich schauen, ob man nicht ein anderes frei programmierbares Gerät im Haushalt hat, welches man verwenden könnte. Basierend auf obiger Spezifikation gibt es im Internet für verschiedene Plattformen bereits Implementierungen (oder man macht es selbst, falls man kann). Ein alter PC, der normalerweise ohne Internetverbindung läuft, eignet sich ebenfalls.
Man kann den Authentikator selbst auf dem Rechner, der die Verbindung zum Spiel herstellt, ohne wesentlichen Sicherheitsverlust laufen lassen.
Das hat folgenden Grund: Sollte man sich einen Trojaner einfangen, so kann dieser natürlich alle Sachen auf dem Rechner aus- und mitlesen. Insbesondere wäre damit natürlich auch die Sicherheit des Authentikators gebrochen - der Angreifer könnte einfach die Schlüssel auslesen (und damit den Authentikator bei sich laufen lassen) oder die Zahlen mitlesen.
Aber: Selbst wenn der Authentikator nicht auf dem Rechner läuft, könnte der Angreifer einfach den nächsten Login-Vorgang des Benutzers im Spiel abwarten und dort dann sowohl Benutzername, Passwort als auch den eingegebenen Authentikatorcode mitlesen. Dabei blockiert der Trojaner dann die Verbindung zum Spiel und überträgt parallel die mitgelesenen Daten zum Angreifer (das dauert nur Millisekunden im Internet). Dieser loggt sich dann z. B. per Bot automatisch im Spiel mittels der Daten ein (er hat ja alles, was er benötigt: Benutzername, Passwort und einen aktuellen Authentikatorcode). Dem Opfer dagegen blockiert der Trojaner die Internetverbindung, so dass es nichts mehr machen kann, während der Angreifer den Account abräumt. Inzwischen hat Blizzard offenbar die ersten derartigen Fälle zumindest unter WoW eingeräumt.
Da der Authentikator also gegen Trojaner ohnehin nur beschränkt hilft, ist es qualitativ kein größerer Verlust an Sicherheit, den Authentikator auf dem gleichen Rechner wie das Spiel laufen zu lassen. Ein Trojaner auf dem Rechner bedeutet in allen Fällen, dass der Account kompromittiert werden kann - egal, wo der Authentikator läuft.