просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
В целом все так и делают. А потом хуяк парни из PCI DSS сходили на RSA Conference и узнали про 2FA. И такие, О, а это мысль. И решили, что весь доступ в контур по 2ФА