Это можно назвать пиаром, но я не могу спокойно смотреть на то отношение к безопасности пользователей, которое наблюдаю в BTC-e и не только.
А зачем тогда такая 2фа?
Это конечно правильно защищаться от подбора пароля, но это защита от атак 10-летней давности. Никакие 20-значные пароли и никакие блокировки по IP вам не помогут если у вас в браузере сидит троян - man-in-the-browser attack (MitB).
Сейчас многие биржи, в том числе BTC-e, поставили себе google authenticator и убеждают пользователей его активировать как лучшую защиту от взлома. Типа Google это правильно, открытый стандарт это правильно, опенсорс это правильно. Бред. Правильные вещи нужно еще и правильно использовать. Google Authenticator предназначен только для аутентификации пользователя (т.е. логина), и ни для чего более. Его категорически нельзя использовать для подтверждения транзакций, потому что когда вы вводите код из аутентификатора, вы не знаете, что вы подтверждаете. Когда троян сидит в браузере, он может как угодно менять то что вы видите в своем личном кабинете в BTC-e, он может перехватить только что введенный вами код и сразу использовать его для совсем другой транзакции, нежели вы предполагали (30 секунд вполне достаточно). Трояну не нужен ваш пароль - вы его сами вводите при входе. Трояну не нужен ваш аутентификатор - вы сами вводите одноразовый код... но только не для себя.
Правильно делать 2-факторную авторизацию транзакции, а не 2-факторную аутентификацию пользователя. Детали транзакции должны обязательно отобразиться на втором устройстве, которое используется для подтверждения (чаще всего - на телефоне), и которым троян в браузере не может манипулировать. Правильно сделано здесь: https://www.azid.ru/sites.php (это обещанный пиар).
Теперь, что мы видим в BTC-e:
1. Коды из аутентификатора используются для подтверждения вывода, когда пользователь не знает реально, что он подтверждает.
2. Во время привязки гугл аутентификатора его ключ отображается в браузере. Это значит, что если троян уже сидит в браузере, ваш будущий взломщик может стащить ключ и сделать себе клон вашего гугл аутентификатора.
3. Даже та хромая реализация 2фа, которая есть, может быть отключена просто снятием галочек на странице "Безопасность". Никакого подтверждения для этого не требуется. Соответственно, если в компьютере ТС был троян, он мог это тихо сделать и сразу запросить вывод средств без подтверждения.
В-общем, то что сейчас есть в BTC-e это не безопасность, это попытка создать ложное чувство безопасности (Брюс Шнайер, известный гуру в области компьютерной безопасности, называет это security theater), поэтому несмотря на 3-летнюю историю биржи, сейчас я бы никому не рекомендовал ей пользоваться, до тех пор пока там не появится нормальная защита.
Раскрытие информации: я являюсь со-учредителем компании, которая делает TapLogin (ссылка выше), я не имею интереса в goc.io, они пока единственный биткойн сервис, который использует наше решение.