Ez nem igaz.
Pl. a time based tokenhez egy shared secret-et mentesz el, ami alapján a bármilyen eszközöd 30 másodpercenként új 2FA kódot generál. Semmit nem tudnak meg ettől az eszközödről.
Az SMS-t ne keverjük ide, azt nem is tekintem második faktornak (nem biztonságos).