No creo que haya una respuesta simple para esto: sus demandas de seguridad pueden variar. Si le temen a los keyloggers que roban sus contraseñas, dando a los adversarios acceso a correos electrónicos confidenciales, entonces, por supuesto, use la autorización de 2 factores (entre otras técnicas). Sin embargo, si solo anticipa recibir correos electrónicos relativamente mundanos, entonces no es necesario, y habilitarlo podría ser una carga adicional, por ejemplo, si pierde su teléfono celular de vacaciones, no puede iniciar sesión en ninguno de sus sistemas.
Además, el uso de autenticación de 2 factores puede fomentar malos hábitos; por ejemplo, puedes pensar que mi teléfono siempre está conmigo; así que puedo usar una contraseña simple y fácil de adivinar. Luego, en los sistemas que se han autenticado una vez, puede ser sencillo que alguien adivine su contraseña.
En resumen; La autenticación de 2 factores proporciona seguridad adicional cuando:
- los usuarios se autentican con frecuencia desde una variedad de equipos cliente que no son de confianza y pueden estar ejecutando keyloggers
- a los usuarios no les importa la carga de la necesidad de poder recibir mensajes de texto o llamadas telefónicas para autenticarse
- los usuarios no siempre almacenan en caché la primera autenticación (solo caché en computadoras confiables; y aún requieren que el usuario ingrese la contraseña)
- los usuarios aún deben tener contraseñas seguras en la segunda autenticación
- la autenticación web aún usa https (o equivalente; por ejemplo, inicio de sesión en ssh) (evitar los ataques MITM con servidores falsificados; mantener su contraseña en secreto en caso de que se encuentre un token válido más adelante).
Además, el correo electrónico en sí mismo no es un buen método para enviar datos confidenciales: el correo electrónico tal como se enruta se envía en texto sin formato para que lo lea cualquier servidor de correo / enrutador / agente de correo intermedio. Realmente debe cifrar / firmar correos electrónicos confidenciales con PGP (o similar) para proteger el contenido de los correos electrónicos para que no sean leídos o alterados en secreto.