Mi chiedo se ci sia qualche ragione per implementare un nome utente / password con 2FA o, dal punto di vista dell'utente, accontentarsi di un nome utente / codice 2FA. Sto cercando di trovare un equilibrio salutare tra la facilità di un accesso e di non richiedere all'utente di ricordare una password (difficile).
Ovviamente so che aggiungere una password rende più difficile, ma appesantisce la sicurezza, come anche l'app Google Authenticater.
Qualche idea su questo?
Non consiglierei di omettere la password. Il TOTP (ciò che chiamate 2FA) è usualmente lungo solo 6 cifre, il che non è raccomandato come abbastanza strong. Un altro problema potrebbe essere che qualcuno potrebbe avere accesso al telefono per un breve periodo. Questo non è un problema, se anche avessero bisogno di una password. Il codice TOTP cambierebbe rapidamente, quindi non possono scriverlo e attendere che ottengano la password. Ma sarebbe un problema se non lo fosse, perché potevano semplicemente effettuare il log-in immediatamente.
Leggi altre domande sui tag multi-factor