Authentication 软件（虚拟令牌）双因素身份验证？

我的公司一直在探索为我们的网站实施2FA。在查看了一些产品和2FA wiki页面后，虚拟令牌似乎是最便宜的解决方案，可以满足我的以下要求：

不是硬件令牌（因此没有yubikey、securid等），但这是由于成本限制

客户端不需要安装任何软件，例如Java小程序、ActiveX插件、在桌面上运行的exe

很可能无法使用“网格”（可能不符合508）

不要求用户拥有手机（排除google auth和其他一些基于手机的解决方案）

非生物特征（因为它很可能需要安装硬件或软件）

如果我们必须违反第1条），那么它必须易于部署且成本低廉（我们的用户列表[按项目]不断变化，并且位于非常不同的位置）

我已经看过一些“虚拟令牌”，包括“Sestus”，但我看不出它们是如何“真实”的2fa。它不需要安装任何软件，完全基于浏览器。2fa基于可通过浏览器（如用户代理）获得的信息，这似乎很容易被欺骗

我在这里发现了一个类似的问题：但它已经超过2年了

---

在这一点上，yubikeys是否是最可行且最具成本效益的解决方案？

Sestus的虚拟令牌（R）解决方案是一种真正的多因素身份验证方法。FFIEC、HIPPA、CJIS和PCI监管公司（包括美国财政部）都使用该软件。虚拟令牌（r）MFA确实在用户的设备上放置了一些东西，一个数学键。它使用用户已有的软件（他们的浏览器）来实现这一点。因此，不必为用户部署新软件。

似乎更具成本效益，更容易破解4，除非您的应用程序针对的是没有手机的用户。