Las cosas que se usan para autenticarse son típicamente "algo que sabes" (una contraseña), "algo que tienes" (una clave física, una identificación) o "algo que eres" (huella digital, huella, voz, etc.)
La idea detrás de la autenticación de dos factores es utilizar dos de esos dominios en lugar de uno.
No importa cuán complicada sea su contraseña de un factor, si la obtengo, estoy dentro. Si requiere que ingrese un código enviado a un teléfono celular, entonces se requiere la posesión de ese teléfono (o la capacidad de interceptación de su Los mensajes SMS, que están más allá de mi modelo de amenaza personal) TAN ADEMÁS DE esa contraseña, es un poco más difícil (para un compañero de trabajo, compañero de habitación, etc.) hasta prácticamente imposible (a alguien que está a 1 km). Si requiere la contraseña + una contraseña del token, entonces necesito tener el token, la misma idea, etc. ...
Como factor adicional, dos factores ofrecen cierta protección contra contraseñas incorrectas.
Como usuario, no puedo comprometerme por un solo error (filtrar mi contraseña, perder mi teléfono o token). Como administrador, tengo un grado mucho más alto de confianza de que el usuario es quien dice ser.
Los ataques de repetición, por cierto, se pueden prevenir mediante esquemas de contraseña de un solo factor (S / KEY), que no veo con mucha frecuencia en estos días.
Además, con respecto a sus "únicos sitios en los que confío", solo porque confía en algo no significa que no deba protegerse.