Oggigiorno sempre più siti Web richiedono ai nuovi utenti di verificare la loro 'identità' richiedendo all'utente di dimostrare di avere accesso a un dispositivo identificato da un numero di telefono (in genere un telefono).
Il motivo spesso citato per questo è piuttosto non specifico: " per proteggere il tuo account ".
Sono d'accordo che, nel caso in cui l'utente sia esclusivamente usando computer desktop / laptop per interagire con il servizio, usare un telefono come verifica fuori banda di "qualcosa che hai" potrebbe essere visto in modo efficace come autenticazione a due fattori.
Tuttavia ... oltre il 50% di tutti gli accessi online ora viene effettuato tramite dispositivi mobili, come gli smartphone.
L'uso di un dispositivo mobile, per dimostrare che l'utente ha accesso a detto dispositivo, compromette la sicurezza aggiunta implicita?