Использовал Google Authenticator в проекте по аутентификации на базе PHP. Работа с Google Authenticator идет через класс PHPGangsta_GoogleAuthenticator.
По умолчанию при первичной регистрации, происходит генерация QR-кода (я QR-код заменил на ссылку т.к. основные пользователи – мобильные, а не стационарные). В этом коде содержится URL с username, secret, service-name и редирект на приложение по мультифакторной аутентификации. Причем URL универсальные – работает на IOS, Android, Windows Phone*.
otpauth://totp/<username>?secret=<secret>&issuer=<service-name>
После установки токена, на странице по аутентификации можно делать ссылку чисто на приложение, чтобы повторно не ставился токен.
otpauth://totp/
* На Windows Phone нет Google Authenticator, как полноценную замену (с поддержкой redirect) можно использовать приложение Duo Mobile.