pero hay otro detalle, la validación de acceso se hace por dos sistemas de seguridad distintos: el login de steam y tu correo, funciona muy bien.
con lo de las llaves fisicas corres el MISMO problema que mencionas con el celular autorizando las cuentas de correo.
total, no hay seguridad 100% garantizada.
A lo que me refiero g00mba es que la seguridad de la autenticación multi-factor se basa en que los factores de autenticación no deberían de compartir el mismo medio físico o "virtual".
Es una práctica muy comun utilizar el mismo password en diferentes cuentas. Tal vez muchos de nosotros que tenemos algo de ideas en seguridad en sistemas informaticos tendemos a no usar el mismo password en cuentas sensibles, o realizar combinaciones de passwords para no usar siempre el mismo.
Pero....
la mayoría de gente no es así. Y si, digamos, con SteamGuard tu password está comprometido y sos un usuario común y corriente, si el "atacante" ya conoce tu correo nada mas tiene que entrar a tu cuenta de correo para así autorizar un nuevo dispositivo.
En este caso aunque son dos "login" diferentes solo necesitas conocer UN password (un solo factor) para obtener acceso si estamos hablando de un usuario comun y corriente.
El sistema de SMS no es infalible tampoco pero le veo la ventaja que los factores se envían por dos medios totalmente distintos. Es decir aunque alguien conozca el password de tu cuenta de Google o Facebook, adicionalmente tiene que tener tu teléfono a la mano para autorizar un nuevo dispositivo. Y adicionalmente se te envía un correo indicando que un nuevo dispositivo ha sido registrado. Es decir que el atacante tiene que acceder a tres cuentas para borrar por completo la evidencia de que ha autorizado un nuevo equipo.
Tu cuenta de FB o Google.
Tu cuenta de email (para borrar el registro).
Tu celular.
En el caso de la autenticación de doble factor de Google y Facebook considero está mejor implementado porque requiere de DOS factores, el password y tu celular. Vos podes tener mi password pero si no tenes mi celular no te sirve de nada, lo mismo si tenes mi celular pero no tenes mi password entonces tampoco podes hacer nada.
Con las llaves físicas tienes la ventaja de que es algo que no le entregas a nadie. Yo no se vos pero yo mis llaves las ando siempre en la bolsa, el unico momento que me separo de ellas es en la noche donde solo está mi familia. Las unicas personas que podrían tener acceso físico a una llave USB que yo maneje es mi propia familia.
Y eso es el "factor extra" de seguridad de las llaves físicas que restringen el acceso físico prácticamente a las personas que estan dentro de tu circulo más cercano.
Ahora, como mencione antes si el único factor es la llave física entonces el sistema no es más seguro que un password, con el inconveniente de que si perdes la llave física va a ser más dificil obtener un reemplazo que en el caso de cuando se te olvida el password.
