Два фактора — не всегда панацея. Очень часто бухгалтеры оставляют токен воткнутым в компьютер, чтобы лишних движений не совершать. Как любое иное USB-устройство токен можно «пробросить», например через RDP, на компьютер злоумышленника, либо воспользоваться им удаленно. Это самое простое, что в голову приходит, вариантов, как всегда бывает много. Так что там, где вправду критичная информация, типа платежной, активных сессий лучше без присмотра действительно не оставлять.