　不正利用者側では「漏えいしたパスワードを2つに分けて入力すること」や「簡単なパスワード＋漏えいしたパスワードを入力すること」といったいくつかのパターンを試すようにツールを作り替え、機械的に試すようになるだけ。手間はさほど増えるわけではないと考えられます。利用者の煩わしさが増すだけで、セキュリティが上がるとは思えません。

2：両方ともスマホを用いた情報にした場合

　例えば、スマホにインストールした認証情報表示用のアプリ（Google Authenticatorなど）と、スマホに届くSMSメッセージの2種類の情報で認証するとした場合、どちらも同じスマホで参照できてしまいます。それでは、不正利用者側も1台のスマホを手に入れるだけで2つの情報を参照できてしまうので、セキュリティは上がっていません（※）。

※スマホのロックを解除する必要はありますが、利用者側がスマホのロック機能を利用しているかどうかは、サービス側からは分からないですし、強制もできません。ですので、サービス側としては、利用者はロック機能を使用しない前提で考えます。

　サービス側が（できるのかどうか分かりませんが）技術を駆使して、スマホアプリをインストールするスマホと、SMSメッセージを受け取るスマホを同一にできないようにしたとしても、利用者側にスマホをもう1台用意するように強要しているだけで、利用者が従うとは思えません。クレームを入れるか、サービス利用を止めてしまうのではないでしょうか。

　サービス側で別途、利用者のために追加のスマホや「認証用の道具（例えば4～6桁の番号が表示されるような機器や暗号カード）」を用意して利用者に配布し、「利用者のスマホ」と、「サービス側で用意したスマホや認証用の道具」で認証する方法も考えられます。これにはサービス側がスマホや道具を用意し、配布するコスト、さらに利用者がなくした場合に再配布するコストがかかります。

　そもそも二段階認証の採用が始まった背景には、スマホが普及し、利用者が日常的に所持するようになり、スマホアプリやSMS、メールなどを認証用の道具として、低コストで利用できるようになったことがあるわけで、サービス側からすると、追加の認証用の道具を用意するコストをかけるよりも、片方はパスワードにしておいて、メインのサービスの発展にコストをかけようと考えるでしょう。

　重要度が高いサービス（例えば資産管理など）や、企業・団体の重要な情報を管理する業務システムへの認証には、追加のコストをかけてでもセキュリティを確保する価値があると考える場合もあるでしょう。

　しかし、2つの認証用の道具を用意したとしても管理は利用者側に任されているわけで、利用者が一緒のカバンに入れてしまうことなどを考えるとリスクの分散にはなりません。

　片方は常に所持し、片方は家（オフィス）に保管というように保管場所を分ける運用をすれば、リスクの分散につながります。しかし、保管場所に行かなければいけないという条件が発生します。ですので、どこからでも重要情報にアクセスできるようにしつつ、セキュリティを確保するには、異なる種類の認証情報を使うようにしたほうが良いでしょう。