Se non riescono a capire che lo scenario è difettoso, potrebbe essere meglio mettere da parte l'argomento 2FA e attenersi semplicemente all'argomento molto più semplice che avere un fattore non sicuro lo rende un metodo nullo.
In questo caso, a meno che non sia possibile imporre un PIN o un passcode forti durante la creazione del certificato, puoi essere certo che i pigri (la maggior parte di noi dopo tutto!) NON si preoccuperanno. Lasciando il certificato spalancato per copiare e amp; riutilizzo indesiderato.
AGGIORNAMENTO: dai tuoi commenti.
La prima cosa da fare è assicurarsi che il proprio sedere sia coperto sollevando un rischio formale se si dispone di un processo adeguato disponibile. Altrimenti assicurandoti almeno di avere la prova scritta che hai sollevato il problema.
Il passo successivo potrebbe essere quello di provare e incoraggiare l'organizzazione ad avere una revisione della sicurezza esterna. I dipartimenti di audit interno possono essere molto utili qui! In genere sono molto grati a chiunque voglia parlare con loro e sono spesso più che felici di prendere una decisione da parte tua in merito ai rischi organizzativi.
Non tutti i problemi hanno una risposta diretta: /