我认为这里有两个独立的问题需要你解决。

问题 #1：我应该只使用一个因素还是应该使用两个？

这是您在标题中提出的问题 - “为什么不将第二个因素作为唯一因素？”。

两个因素比一个因素更安全，但它伴随着可用性和实施​​成本。成本是否值得取决于您的客户准备接受什么以及您试图保护的东西有多有价值。对于一家银行来说，2FA 几乎是必须的，对于一个在线爱好论坛来说可能是矫枉过正。没有通用的一刀切答案是可能的。

问题#2：如果我只使用一个因素，你应该选择哪一个？

这是指向中等（主要）地址的链接的问题。这和第一个问题不一样。

这基本上归结为“哪种身份验证最好” - 显然是一个非常广泛的问题，没有明确的答案。但是让我们看看你提到的方案。

使用电子邮件而不是密码？对于低价值目标来说，这可能是一个好主意。我的共享主机爱好论坛比 GMail 更容易遭到破坏。但如果我是一家银行，这可能很糟糕，因为某些客户的电子邮件提供商可能非常薄弱。

使用智能手机代替密码？如果您的主要威胁是大型机器人蛮力攻击或重复使用来自其他违规行为的凭据，这可能是一个好主意。如果您的主要威胁是从您身边的人那里窥探，这可能很糟糕 - 您生活中可能有几个人可以轻松访问您的智能手机。所以对于爱好论坛我会说是的，但对于 Ashley Madison 来说可能不是。（或者再想一想，也许这对他们来说是最好的……）

我认为这里的带回家的教训是，一个因素不一定是密码，但应该是什么取决于您的具体情况。

两因素身份验证通常基于您知道的信息（密码）和您拥有的信息（例如 RSA 令牌、电子邮件帐户、电话）。

如果你是唯一一个知道你的“你知道的东西”的人，那么这应该很好。然而，暴力破解、彩虹表、社会工程攻击都是为了解决这个问题而设计的。

“你拥有的东西”的安全性取决于你保持所有权的能力。例如，您是否丢失了令牌/电话，是否有人入侵了您的电子邮件地址。

总的来说，这一切都与风险有关，与单独控制其中任何一个相比，您同时失去对已知事物和拥有事物的控制的可能性较小。

生物识别技术也很复杂。那只是你拥有的东西，很难在不被发现的情况下偷走。然而，这有一个巨大的缺点，即如果被妥协（通过伪造），那么你就很难改变它。

在旁注中，我了解到有人将他们的 RSA 令牌放在网络摄像头前，并将所有更新发布到网站上。鉴于没有人知道令牌的用途或任何其他必要的凭据，它解决了“我忘记了令牌”的问题。