Nem user/pass,hanem user/pass és kötelező 2. faktor. A push/sms dolgot nem tudja megúszni, gondolom ezt szerette volna a delikvens. Az user/pass mellett a 2. faktor (ami egy az ügyfél által birtokolt eszközön található információ megismerésén alapul) azonosítja hogy tényleg Gipsz jakab írta be a jakap/jakab123 user/pass párost.
Szóval az user/pass helyett talán, de erről az MNB illetékeseit kéne megkérdezni, hogy mi a véleményük, a 2. faktor helyett viszont egyáltalán nem jó (Google fiókkal bejelentkezésnél adott gép/böngésző a felhasználó által "biztonságos"-nak jelölhető, ahol nem kér 2. faktort a Google).