Moin,
naja, ein e-Mail-Konto ist natürlich auch ein zweiter Faktor.
Üblicherweise nutzt man aber sonst SMS oder ein
physikalisches Gerät als zweiten Faktor. Natürlich sind letztere
gehackt und SMS unnötig langsam, instabil und teuer, aber was tut man nicht alles.
Ich bin mir noch nicht ganz sicher, ob dir klar ist was der exakte Anwendungszweck von TFA ist.
TFA ist fügt zum normalen Loginprozess eine zusätzliche Authentifzierungsmethode hinzu. Das Passwort ist etwas, "das man weiß". Dazu kommt dann oft etwas "das man hat", z.B. ein Smartphone mit Google Authenticator, oder etwas "das man ist", z.B. biometrische Daten wie Fingerabdruck oder Iris-Scans. Weitere mögliche Faktoren sind z.B.
* RSA-IDs
* Yubikeys
* SSH oder GPG Keys
Man muss nicht für jede Nutzeraktion an jedem Gerät TFA verwenden. Oft kann TFA auf einem bestimmten Gerät (widerrufbar) deaktiviert werden - bei Facebook nennt sich das "diesem Computer vertrauen". Trotzdem kann man für manche, besonders kritische Aktionen - z.B. Ändern des Passworts, Hinzufügen eines SSH Public-Keys, ... - immer auf erneute Authentifizierung mit zwei Authentifizierungsfaktoren bestehen.