Jak byste sli na implementaci 2FA?

Mám vlastní webovou aplikaci a mám představu, že po přihlášení heslem by mi vyskočila hláška v mobilu a já ji potvrdil. Chci tím dostat zabezpečení na vyšší úroveň. Druhá věc je, že bych před některé procesy (např "odeslání platby") dal taky to potvrzení přes mobil. Některé procesy mám nyní zabezpečené smskou. Ale chtěl bych do toho vnést trochu pohodlí (chápu, že cena za pohodlí je snížení bezpečnosti). Mezi uživatele to nedostanu, když jim to bude moc otravovat život (třeba 20krat denne opisovat smsku), ale zároveň pro ně potřebuji vytvořit bezpečnější prostředí. Klidně si udělám vlastní autentizační aplikaci do mobilu. Ale představuji si to jednoduše, a vím, že špatnou implementací zabezpečení tolik nevylepším. (Nebo mě napadá, že bych mohl k uživateli mít připárovaný telefon a pak v telefonu kliknutím přes api odemknout uživatele na nějakou dobu než zadám heslo.) Máte nějaký lepší nápad? Případně tip jak to snadno implementovat? Řešili jste něco takového?

Beznej authenticator, casovy kody (bezne imlpementuje treba google authenticator, ale nei to vymysl googlu, je to volnej standard), dneska beznej standard.taky se kontroluje zarizeni, jakmile se prihlasujes z noveho, musis potvrdit pres email. Zalezi jak citlivej ten ucet je.

Diky. Jde spise o hodne citlive ucty.Koukam treba na tuhle app. Vypada, ze tam ma i jen to potvrzeni pres push notifikaci (podle screenshotu) a funguje jak android tak ios.2FA Authenticator (2FAS) – Aplikace na Google PlaySDK - 2FAS DocsJe nejake bezpecnostni riziko v pouzivani authentikatoru treti strany?

Inspiruj se na https://web.whatsapp.com/Někdo se přihlásí a pak telefonem naskenuje QR kód. Zdá se mi to elegantní, rychlé a uživatelsky zajímavé.

ako pise ales. bezny https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm je to co dnes kazdy pouziva. implementacia je uplne primitivne jednoducha, pre kazdy jazyk mas kniznice.