"Szerintem az SMS-ben megkapott OTP valóban nem véd jobban, de az SMS-ben visszaküldött igen. [...] Ugyancsak jobb a mobil app-ban megtett jóváhagyás és a telefonhívásban megadott PIN is erősebb: ezek ugyanis out-of-band védelmet adnak, míg az időalapú OTP MITM-nek kitett."
Egyrészt az általad átküldött leírásban annyi van, hogy jön egy bejövő hívás, amire # választ kell adni, illetve jön egy SMS egy OTP kóddal... szó nincs SMS-ben megválaszolt kóddal (ami miért is biztonságosabb, mint egy másik csatornán visszaírni a kódot?), illetve szó nincs telefonhívásban megadott PIN kóddal, ami egyébként nem a legbiztonságosabb módja az azonosításnak... szóval Te ezeket egészen pontosan hogy használod az Azure-ban? Vagy csak más leírást olvasunk?
"-Az Azure MFA beépítve tartalmaz a visszaélések jelentésére szolgáló fraud jelentést, az IT-nak menő valós idejű riasztásokkal. Van részletes audit, amiből ütemezett riportokat készíttethetsz."
Ez nem az MFA implementáció dolga, felesleges idekeverni VAGY fel kell tételezzem, hogy szimplán jelszóvédett account esetén nincs fraud detection a Microsoft megoldásoknál.
"-Működik okostelefon nélkül is (akár vezetékes telefonnal is...)."
Az összes idő alapú OTP megoldásnak van JavaME implementációja is, ami azért eléggé széleskörű eszközöket jelent.
"-Fejlesztést nem igényel, hogy LDAP, Radius, IIS vagy Windows Authetication-be beillesszed."
Hány esetben integráltad saját kezűleg például OpenLDAP-hoz vagy Linux rendszerekhez? Ugye onnan indultunk, hogy a Mozilla miért nem használ több faktoros azonosítást.
"-Testre szabhatók például a hangüzenetek, a Caller ID."
Nagyszerű... de térjünk vissza a kérdésre, mert konkrét kérdésekre úgy látom általában beindul a brossúra-felolvasó-terelő üzemmód és bullshit generátor... szóval: miért is biztonságosabb ez az egész egy ujjlenyomat olvasóval védett telefon időalapú OTP kódjától?