Скажу по делу: в прошлом году у одного френа взломали пароль от счета на бирже, но из-за включенной гугл-аутентификации Хакер не смог зайти. Сэкономленные деньги хватило, чтобы купить машину.

Вот в чем ценность вторичной проверки — не в том, чтобы научить вас криптографии, а в том, чтобы помочь вам потерять меньше денег.

Принцип можно объяснить тремя предложениями: когда вы сканируете QR-код, вы сохраняете один ключ, а биржа сохраняет копию. Каждые 30 секунд обе стороны используют одну и ту же формулу, чтобы получить одно и то же 6-значное число. Это можно вычислять без подключения к сети, поэтому оффлайн - это самый безопасный способ. Хакер не имеет вашего ключа и, сколько бы он ни пытался, не сможет вычислить код подтверждения.

Практический совет: найдите старый телефон, выньте сим-карту, отключите интернет, выключите WiFi и установите Google Authenticator. Это называется "воздушная изоляция", защита на уровне армии, стоимость - одна старая бездействующая машина. Можно тестировать, можно копировать, сразу использовать.

Не используйте SMS-подтверждение, перехват SS7, клонирование SIM-карт, слишком много уязвимостей. С электронной почтой то же самое, атаки на базы данных и фишинг трудно предотвратить.

Далее, Passkey постепенно заменит TOTP. Он использует асимметричное шифрование, приватный ключ никогда не покидает ваше устройство, сервер хранит только публичный ключ, и даже если его украдут, ничего страшного. Но на это потребуется несколько лет, а пока вполне достаточно использовать офлайн-валидатор.

Старый телефон, сэкономив деньги на машине, этот расчет всем понятен.