Hoe werkt een 2-staps verificatie met 6-cijferige codes?

Het zal net zo werken als bijvoorbeeld de Rabobaank Randomreader. Die bepaalde op tijdstip en met een formule een code voor de website. De randomreader had nooit contact (100% offline) en was de enige manier voor een tijd om internet te bankieren met de rabobank. (nu is er een andere reader).

Toegevoegd na 13 minuten:
Als voorbeeld ik maak een lijstje met tijden en getallen, data en formules en jij krijgt een getal aan de hand van je accountnaam.

31 jan 2018 = 3245
1 feb 2018 = 6728
2 feb 2018 = 7539
13:00= 478
14:00= 562
jouw getal is 342

formule voor; 1 feb 2018 13:05
formule = datumcode x tijdscode - datumcode x (tijdscode-accgetal)
Als dat geen 6 cijferig getal oplevert doe je er consequent een berekening overheen die wel 6 cijfers geeft. Voor mijn part dump je de laatste 3 als er 9 cijfers uitkomen.

Welnu als de app en het andere apparaat dezelfde lijstjes hebben en de datum juist hebben werkt dit.
Dit zal een enorm gesimplificeerde uitleg zijn van de randomisatie en formules, maar aan zoiets moet je grofweg denken.

Toegevoegd na 15 minuten:
Aangezien de app die je draait een grote kans heeft weleens online te raken zou via een update allerlei waardes om de zoveel weleens aangepast kunnen worden. Maar dat is speculatie.