Если вы имеете в виду любые сервисы (не google) . То Наличие того или иного метода двух-факторной аутентификации само по себе не делает его автоматически более защищенным. Необходимо рассмотреть модель угроз.
Например, там где есть 2ФА там автоматически если обход 2ФА через тотже email, вопрос ответ, звонок админу - сбрось мой 2ФА, почемуто не логиниться...
Ок, Давайте сравним SMS и T-OTP. (Google Auth) :
- SMS можно считать более безопасным поскольку секретный ключ OTP храниться только на сервере. Моделирование атаки включает : 1) Узнать номер моб телефона и первый фактор аутентификации, 2) подделка SIM карты или перехват SMS . Но если атакующий - инсайдер со связями с Телекоме, уже горячо)). Поэтому главное тут выбрать оператора который слабо подвержен SMS-атакам либо выбор Email доставки в качестве альтернативы.
- В случае с Google Auth - секретный ключ может хранитьс я в Почте у юзера, в том же СМС, еще гдето где не уследили, поскольку чтобы настроить Google Auth нужно вводить на телефоне этот Ключ или сканировать QRcod что еще опаснее. И уже можно больше "более дешевых" атак смоделировать. Поэтому главное в Google Auth - настраивать телефон сотрудника в кабинете у Админа.
Средний
