Funzionalmente, quando usi l'SMS o l'app di autenticazione su un telefono cellulare, fai affidamento sulla sicurezza su qualcosa che hai . È stato usato per secoli per le chiavi di casa, quindi non è fondamentalmente cattivo ...
Puoi persino renderlo simile a un sistema 2FA se il telefono richiede una password ogni volta che lo usi e anche la carta SIM. Ma ... è limitato dalla costruzione alle app basate su telefoni o tablet.
La password è qualcosa che conosci ed è quasi vecchia: anche le casseforti che usano combinazioni esistono da secoli. Hai mostrato il lato oscuro: una buona password dovrebbe essere facile da ricordare per il proprietario e impossibile da indovinare per chiunque altro ... il che è davvero difficile da trovare. Peggio ancora, le buone pratiche raccomandano di cambiarlo su base regolare, il che è quasi impossibile.
Ma un sistema basato su password può essere semplicemente migliorato con un password vault e un generatore casuale corretto. Tali vault esistono su quasi tutti i sistemi, e alcuni come l'eccellente keypass hanno versioni per sistemi operativi diversi, che possono essere sincronizzati localmente o tramite l'archiviazione su Internet come DropBox. Quindi la password è casuale e può essere modificata a piacere e la sicurezza si affida al vault (che può avere copie di backup) e alla password principale che non viene mai scambiata al di fuori del dispositivo (o del PC).
Quindi il sistema può essere migliore di una password banale, ma dipende da hardware specifico, mentre un sistema di password può essere sicuro ed è completamente portatile e può fornire protezione contro la perdita del dispositivo.
Non voglio dire che l'app di SMS o di autenticazione sia cattiva . Sono anche abbastanza sicuro che si adattino perfettamente ad alcuni casi d'uso, ma IMHO il buon vecchio sistema password è ancora appropriato per molti altri.