Szerintem teljesen oké, hogy belerakom az általam használt 2FA programba, a többi közé. Ne akarjanak egy n+1-edik dologra rákényszeríteni.
A 2FA annyival jobb a jelszavas védelemnél, hogy nem tudod felírni valahova, mert állandóan változik, és nem kiszámítható (jelszóban úgyis csak a számot variálod kötelező változtatós policy esetén).
De ha nagyon kell, még mindig meg tudod osztani mondjuk a könyvelővel, hogy be tudjon lépni a nevedben. Az meg eleve egy bizalmi és jogilag szabályozott kapcsolat. Az a feladata, hogy bizonyos esetekben helyetted, a nevedben járjon el.
Akár úgy is megoszthatod vele, hogy magához a secret-hez nem fér hozzá, de tud generálni bármikor, amit logolni is tudsz (web szerveremen van neki egy URL, ahol autentikáció után megkapja az oathtool által generált aktuális számsort).
Nagyon kevés az a use case, ahol hardverkulcsra van szükség. Ráadásul azt is oda tudod adni másnak.
Szerintem végeredményben muszáj bízni a userben, és képezni, okosítani.
Ha kibaszol vele, a user úgyis misbehave-elni fog.