A 2FA-ban van egy időben, felhasználások számában nem korlátozott faktor (user/jelszó) és egy időben/felhasználási számban korlátozott (2perc, egyszer használható) faktor. Ha aze lőbbit megszerzik, _és_ nincs a második, akkor időben és belépések számában nem korlátozottan tudnak adott szolgáltatás felé megszemélyesíteni. Ha a 2. faktor technológiailag kevésbé védett, relative könnyen megszerezhető (Apple ökoszisztémában az sms oda-vissza megosztva a MacOS-os gép és az azonos fiókhoz tartozó iPhone-között, ráadásul a törlés is "átmegy" mindkét irányban - ezt kihasználó csalásra volt már példa), akkor az könnyen támadható. Egy random ismeretlen környezetben futó TOTP alkalmazás biztonsági szontje a bank szemében közel a nullával egyenlő, de mindenképp alacsonyabb, mint a saját alkalmazásába megérkező push üzenet, és az arra az adott alkalmazással adott válasz.
Nem kell öt faktor, de a statikus credential mellé mindenképp kell egy dinamikusan változó elem is, de ezt már korábban is próbáltuk megértetni veled - akkor sem ment...