С учётом развития информационных технологий, взлом пароля пользователя уже стал чем-то обыденным. Но каждый при этом желает, чтобы его данные были надёжно защищены от попадания в руки злоумышленникам. Особенно если это качается наших валютных счетов. Поэтому уже многие валютные агрегаторы перешли на использование двухфакторной авторизации. Суть ее предельна проста, если даже у нас украли пароль, то для одного его не хватит для входа в систему - понадобится еще один ключ, который генерируется на короткий срок на каждую новую авторизацию.
Самые известные примеры, это взять тот же интернет-банкинг. Вам выдают карту паролей, и после ввода своего основного пароля Вам будет необходимо ввести пароль №10 с карточки в течение пары минут. В итоге у нас двухступенчатая степень защиты.
Как ещё один из вариантов, это приходящая смс с кодом. Согласитесь, получить доступ к телефону неизвестному лицу будет почти нереально.
Но это не все варианты реализации двухфакторной авторизации. Webmoney использует Enum в качестве второго ключа ( они отказались от использования смс). Это приложение можно установить на телефон, и для упрощения ввода ключа вопроса можно воспользоваться камерой: баркод будет автоматически распознан и выдаст контрольную фразу. Google тоже имеет свое собсственное приложение ( куда уже без них).
В Joomla 3 появилась возможность включения двухфакторной авторизации. Однако вы наглядно можете сами попробовать и посмотреть на реализацию на этом сайте. Для этого необходимо создать аккаунт, если у Вас его ещё нету. После успешной авторизации заходим в редактирование настроек профиля ( ссылка, если не можем сразу найти ). В самом низу находятся настройки двухфакторной авторизации. Вы можете выбрать удобный вам способ (Google Authenticator или YubiKey), а далее следовать инструкциям установке приложений и их настройке. Также Вы можете создать одноразовые аварийные пароли на случай, если доступ к приложениям будет утерян.
Двухфакторная авторизация имеет свои очевидные плюсы. Однако из минусов можно учесть усложнение реализации проекта, особенно если мы не будем использовать готовые решения, а будем разрабатывать свою защиту. Кроме этого усложняет посетителям доступ к личным данным, заставляя делать лишние телодвижения. Ну и возможность потери аккаунта или проблемы с его восстановлением при потере второго ключа авторизации. Во всем остальном это будет только большим плюсом в безопасности.
Напоследок скажу, изучайте новое и старайтесь быть в ногу со временем. Информационные технологии не стоят на месте, а стремительно развиваются, поэтому специалист по безопасности обязан успевать следить за нововведениями. Для этого рекомендую заодно почитать "SSL-шифрование на сайте - нужно ли и для чего?"