S dvojfaktorovým prihlasovaním vidím jeden problém v tom, že trocha sťažuje anonymitu.
Pri bežnom prihlasovaní má poskytovateľ služby prihlasovacie meno, zahashované heslo a IP adresu. Prvé dve môže mať človek, aké len chce a to tretie sa pri troche snahy dá zmeniť.
Pri dvojfaktorovom prihlásení má poskytovateľ služby okrem toho aj telefónne číslo alebo aspoň closed source aplikáciu. Tu už treba zháňať aj druhý mobilný telefón a možno aj sim kartu z krajiny, kde pri kúpe nepýtajú občiansky preukaz.
Nemáte pravdu. Pokud používáte zasílání jednorázových kódů na mobil, můžete mít extra sim kartu pouze pro tyto účely.
Pokud použijete časové OTP, nejste vázán na konkrétní aplikaci, takže nejste nucen používat aplikaci poskytovatele služby, kde by bylo "riziko" vytvoření vazby mezi aplikací a vámi.
Já například používám časové OTP pro tyto služby: Google Apps, Microsoft Live Dropbox, Github, Lastpass a MojeID. Ani jeden z poskytovatelů netušil, že pro generování OTP jsem použil Google Authenticator a teď třeba změnil generátor OTP z GA na Authy.
Pokud jste tak paranoidní, že nevěříte uzavřeným aplikacím GA nebo Authy, můžete si vytvořit vlastní aplikaci s použitím veřejně dostupného algoritmu, viz http://en.wikipedia.org/wiki/Google_Authenticator#Pseudocode_for_Time_OTP