Ja, då behöver man lura användaren två gånger istället för endast en.
EDIT: Biometrisk data är såklart svårare att lura av någon, men tvåfaktorsautentisering i sig skyddar inte. Finns många dokumenterade fall där banditen ber kunden trycka och läsa vad som står på bankdosan…
Det som brukar vara hyffsat bra mot sådant här är funktioner på serversidan som med hjälp av lite logik begränsar inloggningar. Ett exempel är en inloggning sker från en geografisk region som skiljer sig avsevärt mot vad denne tidigare brukar logga in ifrån. Självklart kan man vara ute på resa, men att man samtidigt loggar in från en annan typ av hårdvara borde göra att servern kräver ytterligare bevis för att erbjuda inloggning. Eller att en enhet loggar in på många olika konton under kort tid.
Sådan skyddar hyfsat mot att jag tex blir av med mitt lösenord, och att någon i Nigeria försöker logga in på mitt konto.