Кто ж отправляет дфухфакторку через оператора. Всегда есть вайфай для этого. У меня тело воообще используется как запасной вариант. Вернее я его практически не использую. Поставил на комп WinAuth и отправляю только через комп.

Двухфакторка будет введена на новом движке форума. На старом это сделать невозможно. Зеймос давно объявил об этом. Поэтому обсасывать здесь возможность ее введения  на форуме считаю вообще не уместным, она просто будет.

А в принципе да, двухфакторка не панацея. Но защиты много не бывает.

   Алгоритм простой: человек ошибся с вводом кода, всё, надо ждать следующего. Натуральным образом (при ttl 30с) это даёт всего 2880 попыток в сутки. А дальше простой алгоритм, который увеличивает задержку после каждой следующей попытки.

Вы учитываете, что злоумышленник может открыть одновременно много сессий?

    То, что не следуете RFC — плохо.

Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.