Ha az az MFA valóban MFA, és a 2. faktor valóban csak és kizárólag egy példányban létező eszköz, akkor azért eléggé korlátozott az adott identitásnak az eltulajdonításával történő rosszindulatú tevékenység. Az más, ha kap egy trójait a tökike, és utána a fullos hozzáférésén keresztül tolnak sql-dumpot távolról úgy, hogy akár észre sem veszi, hogy valakik mászkálnak a gépén...