Ácsi,. Google Authneticator-os 2FA-ról van szerintem szó, nem pedig arról, hogy a Google/FB/Misrosoft mint IDP lenne a bank felé. Identity providerként nem vonható be, hiszen a bank felé az azonosításod minimum első körben sokkal erősebb, hiszen hiteles okmányok ellenőrzésére épül - ezt egy "hanincsmegakkorenvagyokgipszjakab kukac gémélpontcom" e-mail cím birtokosánál nagyon nem csinálja meg a Google, de az egyéb IDP szolgáltatások mögött sincs csak (legfeljebb) annyi, hogy adott mobilszámra küldött üzenetet el tudod olvasni. Vagyis az identitást nem személyhez, hanem birtokláshoz/hozzáféréshez kapcsolja.
Hasonló, mint a domain validated CA-k által kiadott cert: ott sem azt vizsgálják, hogy te valóban annak a domainnek a jogos tulajdonosa/használója vagy, hanem azt, hogy a DNS-ben/webszerver megadott útvonalán el tudsz-e helyezni egy adott információt.