Parece una tontería preguntar acerca del uso de la autenticación de dos factores sin TLS / SSL, pero tengo un proveedor que usa una IP pública sin TLS y solicita credenciales de inicio de sesión.
¿El inicio de sesión sería más seguro si se habilitara la autenticación de dos factores sin TLS?
Usando algo como Google Authenticator y, sabiendo que las claves son efímeras, la ventana para robar las credenciales sería de unos < 30 segundos, ¿correcto? Parece un poco más seguro pero no por mucho. ¿Cuáles son tus pensamientos?