Prima di tutto, ogni volta che installi qualsiasi software di qualsiasi varietà, ti stai fidando dell'autore di quel software. Non c'è modo di aggirare questo. Ti stai fidando che l'autore non è malizioso, che non è sciatto, che sa quello che sta facendo, che la sua implementazione è corretta, e una dozzina di altri punti pure.
Allo stesso modo ti stai fidando del proprietario del sito in molti degli stessi modi. Oltre a ciò, è solo matematica. Ti stai fidando della matematica.
Google Authenticator è indiscutibilmente affidabile come è possibile in quanto la società è ben consolidata e ha costruito una reputazione sui suoi strumenti e servizi essendo a prova di proiettile. Non c'è letteralmente alcun incentivo per loro a imbrogliare, e un strong incentivo (e ampie risorse) per creare una soluzione ben progettata.
Ma prendono alcune decisioni di sicurezza che molte persone trovano scomode (come non consentire l'esportazione di chiavi). Quindi potrebbe essere una ragione sufficiente per usare un'alternativa.
Vorrei precisare che, se possibile, utilizzare il token U2F . Io personalmente lo uso e sono molto soddisfatto dell'esperienza. Mentre TOTP / HOTP è davvero buono, U2F fa un ulteriore passo avanti fornendo una protezione assoluta contro il phishing - qualcosa di cui nessun altro prodotto di cui sono a conoscenza può vantare. U2F è stato progettato appositamente per questo scopo e fa davvero la differenza. Solo 2 settimane fa ho incontrato un rapporto di una vittima che stava usando il TOTP ma è stato indotto a digitare il suo token di autenticazione in un attacco di phishing e ha perso il controllo del suo account. U2F lo avrebbe protetto.