"Szerintem kell ennél jobb megoldás,"
Éspedig? Mert a "kéne valami" mellé - ha olyan nagy szakmai tudásod van - gondolom oda tudod tenni a megfelelő alternatív megoldást is.
"De jó, amennyiben a secret biztonságos tárolása megoldott. Ahogy az SMS is jó, második faktornak."
HA a buta vállalkozó nem adja oda mindenestől a könyvelőnek a teljes identitását, ide értve az üfk+ user/jelszó mellett a TOTO secret-et is... Mivel ez valós probléma, ami ellen mindenképp tenni kell, így marad az a megoldás, hogy egy és csak egy példányban (vagy megkülönböztethetően több példányban) létező második faktoros azonosítás történjen.
Az SMS kapcsán nem csak az a baj, hogy nincs end-to-end titkosítás/védelem, illetve maga a szolgáltatás nem garantált, hanem az is, hogy van olyan ökoszisztéma, ahol "összefut" olyan szinten a desktop és a mobil, hogy a beérkező és a kimenő sms-eket a desktop-on futó malware el tudja kapni, és a megtámadott személy nem is észleli, hogy mi történt, nem is találja meg a problémás üzenetet, csak a szolgáltatónál lévő logokból derül ki a nyomozás során, hogy a sértett megkapta az adott sms-t...
"A "köz" pedig mindenkiből áll, "
Igen, és a döntéshozóknak a többség érdekét kell szolgálni - az pedig nem az alusipkás laggard - általad öntudatosnak tekintett - réteg - az ugyanis eléggé vékonyka...