Un banco ofrece autenticación de dos factores en dos formas. El primero es SMS a un número de teléfono registrado (el registro se realiza en la sucursal del banco). El segundo es un token de hardware proporcionado.
Ambas opciones se proporcionan para cada inicio de sesión (no tiene opción), luego de una autenticación exitosa usando una contraseña.
¿Qué beneficios (si los hay) hay de un usuario válido que elige la opción de token de hardware en la pantalla de inicio de sesión? Tenga en cuenta que un atacante con la contraseña correcta siempre puede activar la opción de SMS.
Nota a los comentarios: sé que SMS es "más débil" que un token de hardware para la implementación de 2FA.