Az SMS, mint 2FA egy kényszermegoldás arra, hogy másik csatornán történjen az azonosításhoz szükséges kommunikáció egyik fele. Az, hogy adott telefonszám (amire az SMS-t a feladó küldi) alatt kicserélhető a SIM, az -volt rá hazai példa sajnos - az emberi hibára volt visszavezethető (céges mobilszám alatt "cseréltek" SIM-et a csalók). Ha a SIM cseréjénél gyenge az ügyfélazonosítás folyamata, akkor a SIM/telefonszámhoz kötött második faktor annál nem lesz erősebb.
A GA, de a Microsoft hasonló eszköze is alapvetően jó, de ha a fiók, amibe a mentés kerül gyengén van védve, akkor megint ott vagyunk, hogy annyira biztonságos, mint amennyire a backup védelme. Egyébként meg OTP eszközként a GA biztosan működik full offline is, azaz fogsz két telefont, felrakod rá az authenticator-t (semmi mást), aztán netet, de akár a Google fiókot is elveszed a telefontól, az egyikkel beolvasod a QR-kódot, aztán arról csinálsz egy költöztetést a másikra, mindkét telefonra raksz képernyőzárat/biometrikus azonosítást, aztán az egyiket elrakod egy banki széfbe, a másikat meg az otthoni páncélszekrénybe, és csak akkor veszed elő, amikor kell a kód.
Itt lóg az egyik USB-portban egy token. Rajta egy kerek aranysárga érintőfelület, aminek a közepén egy zölden világító y látható. Kritikus adatok/elérések esetében én ilyen 2FA-ra gondoltam. (Igen, tönkre tud menni, igen, nem lehet másolni - igen, kettő kell belőle, ugyanahhoz a hozzáféréshez regisztrálva mindkettőt)