Bueno, odio decírtelo, pero la contraseña de Google Authenticator plus no es realmente una autenticación de dos factores. La 2FA adecuada es dos elementos separados de la tríada tradicional "algo que tienes" (elemento físico, que a su vez puede contener un secreto), "algo que sabes" (secreto) y "algo que eres" (a menudo biométrica).
La contraseña más Google Authenticator es probablemente mejor resumida como contraseña y token de software , como lo hizo Troy Hunt en una publicación reciente del blog. Básicamente, la aplicación almacena un secreto y utiliza ese secreto para generar contraseñas temporales.
Si alguien puede acceder a su computadora de bolsillo de uso general teléfono con una variedad de interfaces de radio que funcionan de forma arbitraria, potencialmente hostil, el software, presumiblemente podrían encontrar alguna Manera de extraer esos secretos. Una vez extraídos, es probable que se puedan trasplantar a un teléfono diferente, que ahora generaría las mismas contraseñas temporales.
Esto no significa que un 2FA "suave" no tenga sentido. Sube el listón considerablemente para un atacante. Pero sigue siendo una variación de "algo que sabes"; solo que la parte de conocimiento la realiza su teléfono, en lugar de su cerebro (o, con suerte, el administrador de contraseñas).
Para afirmar que algo es "impecable" significa que no debe haber, como mínimo, una forma concebible por la cual un atacante pueda explotarlo. Esto parece una barra bastante alta para una computadora de propósito general que ejecuta software arbitrario que almacena un secreto de gran valor.
Es mejor limitarse a decir que dificulta el trabajo de un atacante.