Главный риск
Онлайн аутентификатор рассчитывает коды по секрету. Поэтому риск связан не с самим словом "онлайн", а с тем, кто получает доступ к Base32 token. Если токен утек, злоумышленник сможет получать новые одноразовые коды.
Безопасный процесс начинается с ограничения доступа. Секрет не должен попадать в публичные страницы, задачи, репозитории, скриншоты или аналитику. Прямые ссылки с токенами нужно считать чувствительными.
Когда онлайн-формат оправдан
2FA online удобен для поддержки, тестовых аккаунтов, временного доступа и внутренних инструкций. В этих сценариях команда может контролировать документацию, права доступа и срок жизни токена.
Для личных постоянных аккаунтов часто лучше Google Authenticator, Microsoft Authenticator или другое приложение. Оно снижает количество мест, где секрет появляется в явном виде.
Практические меры
Храните recovery codes отдельно от TOTP-секрета. Выдавайте доступ только тем, кому он нужен. Регулярно проверяйте список пользователей и переиздавайте токены после увольнения, смены подрядчика или подозрения на утечку.
Если нужно передать секрет, используйте защищенный канал и удаляйте временные сообщения после настройки. Не превращайте Base32 token в обычную заметку.