Si se agrega la autenticación de dos factores a una aplicación, aumentaría el atacar la superficie de esta aplicación?
Creo que lo haría, ya que al agregar complejidad aumenta la posibilidad de una vulnerabilidad en mi aplicación y, por lo tanto, abre otra ruta para que el atacante pueda explotar el sistema.
¿Esto sería correcto?
Para responder directamente a la pregunta; Depende de la implementación y / o caso de uso.
No es tan simple como "más funcionalidad equivale a mayor riesgo". La autenticación de 2 factores solo garantiza que se utilicen al menos dos canales según lo previsto y, por lo tanto, demuestra que la afirmación de autenticación es más probable correcta.
Esto derrota la mayoría de los ataques que son posibles al espiar una transmisión entre partes. Suponiendo que la implementación sea segura, 2FA aumenta enormemente la seguridad (y hasta cierto punto la autorización). Sin embargo, suponer que las cosas es siempre una mala idea, especialmente en el caso de la seguridad de la información.
La autenticación de dos factores es una excelente manera de ayudar a prevenir el acceso no autorizado, especialmente si utiliza un producto que ya ha estado en desarrollo y tuvo tiempo de madurar. Si decide hacer rodar su propio factor de 2 desde cero, se expone a muchos riesgos, ampliando así su superficie de ataque. Al buscar un proveedor, me gustaría ver algo así como SecurID de RSA, que es una excelente implementación de factor 2.
Lea otras preguntas en las etiquetas web-application authentication multi-factor