Wir können dafür die Verantwortung nicht übernehmen.

Jaja. Es gab da Diskussionen über Diskussionen … Aber da ich einen eigenen Server habe:

https://code.fastix.org/Projekte/PHP%3Alogin-system/

Insbesondere die dort verlinkte PDF-Datei sollte Henry lesen und sich den Test ansehen. Das Zeug kann nur Benutzername und Passwort, kann also die „2 aus 3 Anforderungen" nicht abklären, sondern nur die erste:

1. Etwas, was man weiß.
2. Etwas, was man ist.
3. Etwas, was man hat.

Wie bei allen sicherheitskritischen Geschichten ist aber selbst die Implementierung etwas für diejenigen, die wissen was sie da tun.