Не используйте подтверждение через номер телефона там, где это необязательно.
2FA используется для усиления безопасности. Используйте дополнительный фактор для входа в сайт, когда вы осознаете, что аккаунт на конкретном сайте для вас важен (переписки, покупки, финансы), и что вы сознательно будете подтверждать вход каждый раз.
Однако, если есть выбор, что именно использовать для подтверждения, - номер телефона либо что-то другое - то используйте другое. Компании заинтересованы в том, чтобы знать ваш номер: рассылать вам СМС, проверять вашу личность, связывать её с другими сайтами. Так же легко они выдадут часть вашего номера при попытке входа в ваш аккаунт или когда ваш друг даст приложению доступ к своим контактам.
Также плохой идеей будет привязывать чужой телефон. Например, привязать телефон бабушки к своему аккаунту в Google, потому что Google зачем-то потребовал от вас добавить телефон. Зная ваш аккаунт, будет возможно получить часть номера телефона бабушки через, например, восстановление доступа.
-
Форма входа. Например, сервис может отвечать сообщениями "пользователь с таким email не существует" и "вы ввели неправильный пароль", что однозначно подтверждает наличие аккаунта с вашим почтовым ящиком.
-
Форма регистрации. Сайт не даст вам зарегистрировать аккаунт на телефон, который уже есть в системе: "этот телефон уже используется". А если его там нет, то на телефон скорей всего отправится уведомление.
-
Форма восстановления доступа. Чаще всего вводятся одни данные, например, никнейм аккаунта, а сервис отвечает что-то вроде
Новый пароль отослан на ящик iva*****[email protected]илиМы отослали СМС на номер, оканчивающийся на 93. Или просит ввести email, а потом пишет "если такой аккаунт существует, то мы отправили уведомление". А Meta (Facebook) достаточно знать только ID аккаунта.
Во всех этих местах возможна утечка второго фактора (номера телефона), который вы привязываете к аккаунту.