Azt írtad, hogy:
"Ha viszont csak username, password páros van, azt még meg lehet jegyezni, lehet, hogy sehova sincs felírva. Tehát ez a két faktor így rosszabb, mint az egy volt."
Na ez akkora baromság, hogy lelóg a diszkről... Attól, hogy a shared secret-et lehet sz@rul kezelni, még nem rosszabb, mint az, ahol csak két információt kell megszerezni... (A jelszót is le lehet írni, be lehet rakni a böngésző jól-rosszul védett jelszótárába, stb.)