Le cose usate per autenticare sono in genere "qualcosa che conosci" (una password), "qualcosa che hai" (una chiave fisica, un ID) o "qualcosa che sei" (impronta digitale, impronta, voce, ecc.)
L'idea alla base dell'autenticazione a due fattori consiste nell'utilizzare due di questi domini anziché uno.
Non importa quanto sia complicata la tua password a un fattore, se la prendo, sono dentro. Se mi richiede di inserire un codice inviato a un cellulare, allora richiede il possesso di quel telefono (o capacità di intercettazione del suo Messaggi SMS, che vanno oltre il mio modello personale di minaccia) QUANTO BENE come quella password, è ovunque leggermente più difficile (per un collega, compagno di stanza, ecc.) Praticamente impossibile (qualcuno a meno di 1 km di distanza). Se richiede la password + una password token, allora ho bisogno di possedere il token, la stessa idea, ecc ...
Come bonus a due fattori offre una certa protezione contro password sbagliate.
Come utente, non posso compromettere me stesso da un singolo errore (perdita della password, perdita del telefono o del token). In qualità di amministratore, ho un livello molto più elevato di fiducia che l'utente è quello che dichiara di essere.
Gli attacchi di riproduzione, btw, possono essere prevenuti con schemi di password monouso a fattore singolo (S / KEY), che non vedo molto spesso in questi giorni.
Inoltre, per quanto riguarda i tuoi "soli siti di cui mi fido" - solo perché ti fidi di qualcosa non significa che non dovresti proteggerti.