Questo non è un bug. L'attacco che viene impedito qui è il caso in cui qualcuno potrebbe rubare la tua password e accedere al tuo account dal proprio computer.
Quindi, in questo caso, due fattori ci aiutano a stabilire la fiducia dimostrando che in realtà sei tu che stai tentando di accedere a iCloud e non a un utente malintenzionato che ha rubato solo la tua password. I modi in cui possiamo ottenere questo risultato possono essere classificati come "qualcosa che hai", "qualcosa che sei" e "qualcosa che conosci".
In questo caso, la tua password è "qualcosa che conosci". Il tuo iPhone e Mac sono entrambi "qualcosa che hai". Ricorda, il tuo Mac è già connesso a iCloud e viene considerato affidabile da Apple a livello di sistema.
Se qualcuno ha rubato la tua password (il qualcosa che conosci), richiederebbe comunque l'accesso al tuo Mac o al tuo iPhone. Questi sono entrambi "qualcosa che hai". Come affermato in precedenza, il tuo Mac è già considerato affidabile da Apple, quindi presentare questo codice a due fattori sul tuo Mac non è meno sicuro che presentarlo sul tuo iPhone. Affinché un attacco abbia successo, l'utente malintenzionato dovrebbe rubare la tua password e ottenere l'accesso a uno dei tuoi dispositivi fidati (il tuo Mac o iPhone). Quindi due fattori sono altrettanto validi presentati sul tuo telefono come sul tuo Mac.