Ha az app-ból/tól el lehet vinni a secret-et, vagy maga az app "hazaküldi", akkor megette a fene az egészet - harmadik fél is bármikor tud 2. faktort generálni.
Ja, ez igaz, ott a pont.
Jolenne ha a Google Authenticatorban at lehetne nevezni a kulobozo QR kodokhoz tartozo cimkeket, az lehet egy fokkal nehezitene az ilyesmit. Pl. a xyz@domain.abc helyett xyx@sajat lenne a felirat, aztan sok sikert parositani a generalt szamot az accounttal.