Heren, een van de meest belangrijke dingen van de 2 in de 2FA is dat 1) je iets weet, en 2) iets HEBT en waarbij hetgeen dat je hebt, via een ander 'kanaal' komt/gaat dan hetgeen dat je WEET. Als je als 2e factor een device gebruikt dat een TOTP aanbiedt, dan heb je niet alleen bescherming tegen zwakke wachtwoorden; (de 1e factor), maar tegelijkertijd bescherming tegen een middle-man achtige aanval (door bijv een keylogger in malware op je windows PC). Essentieel is daarbij WEL dat die 2e factor niet via een online password manager verkregen wordt die vanaf diezelfde PC benadert is. Hier zit dus ook nog de zwakte van menig 2FA: server side kun je niet afdwingen dat de 2e factor via de smartphone ipv een browsertje komt waarbij malware met een keylogger / screenshot module op de PC mee kijkt. De enige optie is daar hardware tokens dan uitdelen en daarmee vervallen we eigenlijk terug in het ouderwetse analoge slsutels aan je sleutelbos model. Alleen dus nu bijna voor elke web site / web shop / mail account ...