Si no pueden entender que el escenario es defectuoso, sería mejor evitar el argumento 2FA y simplemente quedarse con el argumento mucho más simple de que tener un factor inseguro hace que sea un método nulo.
En este caso, a menos que pueda imponer un PIN o código de acceso seguro al crear el certificado, puede estar seguro de que las personas perezosas (¡la mayoría de nosotros después de todo!) no se molestarán. Dejando el certificado abierto para copiar & reutilización no deseada.
ACTUALIZACIÓN: De sus comentarios.
Lo primero que debe hacer es asegurarse de que su propio trasero esté cubierto al elevar un riesgo formal si tiene un proceso adecuado disponible. De lo contrario, al menos asegúrate de tener una prueba escrita de que has planteado el problema.
El siguiente paso podría ser intentar y alentar a la organización a tener una revisión de seguridad externa. ¡Los departamentos de auditoría interna pueden ser muy útiles aquí! Por lo general, están muy agradecidos con cualquier persona que quiera hablarles de buena gana y, a menudo, están más que encantados de saber qué hacer frente a los riesgos de la organización.
No todos los problemas tienen una respuesta directa: /