二段階認証について
解決したいこと
何かしらサービスを運営するシステムがあるとしてそのシステム内に「二段階認証を導入したい」です。様々な二段階認証がありますがどれが最適なのか教えてください。
自分で試したこと
たとえばサービス利用ユーザーが自身のメールアドレスでログインするのが通常ログインと仮定。そのシステムに2段階認証を導入したとして、ユーザーの通常ログイン後、システム側からユーザーの同じメールアドレス宛に認証パスワードを送付する流れで2段階認証のパスワードをユーザー側に入力を促した場合でも意味はあるのでしょうか?
一般的には、システム側から送信される2段階認証用のパスワードは「ユーザーが使っているメインのメールアドレス以外の異なるメールアドレス」や、ユーザーが別途プロフィール等に登録している携帯電話のSMSだったり「ログイン用として使っていない連絡先に送る方が安全」なような気もするのですが実際どちらが理想と言えますか??
もし「メールアドレスとパスワード」が何かしらのサービス経由で漏洩した状況を考慮すると、そのメールアドレスとパスワードで外部侵入者がシステムにログインを試みた時「システムから同じメールアドレスに2段階認証の専用パスワードが送られる仕様」だと結果的にメール受信BOXを見られてしまう可能性も含むと意味がなさそうです。
とはいえメールボックスがハックされている前提は稀なのでどこまでを想定範囲とすべきなのか分かりかねています。詳しい方がいらっしゃればアドバイスくださいませ。