osa wystukał, co następuje:

>>> Ano, chociaż procedura migracji odrobinę upierdliwa (3? 4? razy trzeba
>>> było żonglować tokenem); trochę szkoda, że wciąż nie można zalogować
>>> się do systemu user/pass i dopiero później autoryzować, ew autoryzacja
>>> sms nie jest w kroku 2/2 a w kroku 1/2 podajemy parę user:pass (wtedy
>>> można by zapamiętać 'niebezpiecznie' w przeglądarce (; ).
>>>
>>> Teraz tylko skonfigurować sms key :D
>>
>> Własnie się załamałem... "Wprowadź swoje unikalne hasło" a w kodzie:
>>
>> <input type="password" onkeyup="return autoTab1(this, 20, event)"
>> name="password" autocomplete="on" size="25" maxlength="20"
>> value="MojeTajneHasło">
>>
> Że jak? Formularz logowania wysłany do klienta zawiera jego prawdziwe
> hasło? Czy po prostu wpisali coś, żeby na ekranie przed wpisywaniem były
> kropki (czy cuś)? Bo jeśli hasło klienta to zostaję przy tokenie, jeśli
> jakieś ichsze hasło to wszystko w porządku, ot wypełnienie czymś pola na
> starcie.

To StrasznieTajneHasło, które każą sobie ustalić jest słane w formularzu -
jak źle wpiszesz w pole (jest to zakropkowane) to dostajesz error, że
wpisane hasło się nie zgadza i nie mogą pchnąć procedury wysyłania hasła
sms.

Ergo:
1) strona z polem wpisania numeru klienta, po podaniu przeładowanie i
2) strona z wypełnionym ww numerem, pole na hasło klienta i hasło sms;
3) po podaniu hasła klienta (tego, które jest w kodzie strony!) i
zatwierdzeniu a także posytywnej weryfikacji przychodzi hasło sms które
tzreba wpisać do 3. pola.