Il problema ovvio con questo è lo stesso problema con l'uso di una password: non appena qualcuno lo ha, ha tutto l'accesso di cui ha bisogno. Supponendo che useresti il tuo telefono, se il tuo telefono è stato rubato, quella persona può accedere.
Se ritieni che i rischi legati all'uso di questo metodo siano accettabili, allora è accettabile. Ma devi capire i punti deboli dell'approccio e accettarli come parte dell'accordo.
Diciamocelo in un altro caso estremo: è "sicuro" (non lo hai definito) utilizzare una password di "123456"? Certo, mantiene le persone fuori dal tuo account, fino a quando qualcuno cerca di indovinare la tua password e prova questa password molto, molto comune. Il tuo account è "sicuro" da persone che non cercheranno di indovinare la tua password (ma non sono sicure contro chi lo fa).
Si sta utilizzando una password casuale super-complessa di 30 caratteri "sicura"? Certo, ora è sicuro contro chi vorrebbe provare a indovinare la tua password, ma non è sicuro contro chi vorrebbe provare un keylogger, o un database di password che memorizza tutto in chiaro, o un super-computer dedicato a crackare la tua password.
Ogni livello di complessità aumenta la "sicurezza" e protegge il tuo account da determinati gruppi di minacce. Utilizzando solo 1 fattore, riduci la complessità e riduci il numero di gruppi a cui ti stai opponendo, ma forse i gruppi che rimangono sono sufficienti per le tue esigenze.