Сейчас активно обсуждаем это... Многие спрашивают.

Есть проблема с использованием гугл аутентификатора. Гугл не предоставляет возможность подтверждения конкретной транзакции (авторизации). Он только проверяет, что вы - это вы (производит аутентификацию). Поэтому, если у вас троян в браузере, то вы вместо своей транзакции подпишете транзакцию злоумышленника. В этом смысле он лишь создает видимость защиты денег на аккаунте, но не осуществляет ее. Потому что защищать нужно не вход на сайт, а транзакцию вывода средств.

В подтверждение моих слов Bruce Schneier рассказывает об этом в своих статьях: https://www.schneier.com/blog/archives/2012/02/the_failure_of_2.html Думаю, что его авторитет не требует дополнительных подтверждений...

Самое простое и привычное было бы использовать SMS-подтверждение транзакций. Но SMS резко подорожали с 3 копеек до 50 копеек за SMS.