Это хорошо, но есть некоторые проблемы:
- Универсальное решение в виде U2F есть, но поддерживается не всеми, и не всех есть соответствующие устройства
- Каждый продукт поддерживает разные 2FA сервисы и методы
- Иногда под видом 2FA выдают ослабление защиты под видом смс
- Некоторые сервисы опять же позволяют обходить 2FA через смс, звонок и даже позволяют восстанавливать без оригинального пароля. Что опять же под видом 2FA только ослабляет защиту
- Не всегда хочется подключать твое устройства с 2FA к подозрительному сервису, даже если он такое поддерживает. И проблема конечно зачастую не в самих устройствах, а в том что средства шифрования имеют серийный номер, и по этому серийному номеру можно ассоциировать анонимный аккаунт с реальным человеком, после того как он подключил 2FA. Ходить обвязанным связкой ключей тоже не хочется
- Некоторые сервисы настолько не представляют ценности, что 2FA как-то вот совсем привязывать не хочется, даже если такая возможность есть. Например форум игры какой-нибудь, если пароль нормальный, то мало смысла усложнять себе жизнь
- Когда сервис который оказывает 2FA накрывается, то ты можешь потерять доступ ко всему
- Решения типо GA сливают инфу большему брату (пусть и по ордеру) И в теории можно ассоциировать все сервисы с одной группой людей или человеком, которые используют одинаковую 2FA
- Из-за проблемы с экспортом средств шифрования таможня может оштрафовать, хотя по факту ничего незаконного ты не делал, а лишь заботился о своей свободе слова, или тестировал новое устройство. Опять же есть подозрение, что если вывозить что-то серьезное и новое, то можно не только от таможни получить
- Чтобы купить физическое устройство для 2FA нужны деньги и время чтобы его получить, не все имеют это. Ну и плюс возможно придется потратить время чтобы разобраться, как это работает. А типичный пользователь хочет смотреть смешные видео, вместо этого