Ajuda e FAQ/Segurança e privacidade
Porque é uma escolha deliberada, não um esquecimento. A 2FA conhecida - código por SMS ou app autenticador - existe para escorar senhas fracas escolhidas por humanos, e se apoia num segredo compartilhado e num caminho de recuperação guardados num servidor. É exatamente a superfície de ataque que o modelo de frase elimina: seu aparelho prova que possui a chave assinando um desafio, então nossos servidores só recebem uma chave pública e uma assinatura - nunca a frase, nunca um hash de senha. Parafusar um código por cima reintroduziria a maquinaria de servidor que esse design evita de propósito, sem acrescentar nada contra adivinhação, porque 128 bits já fecham essa porta.
O único segundo fator que acrescentaria algo de verdade é um resistente a phishing, como uma chave de segurança física ou uma passkey, porque os riscos residuais reais não são adivinhação, e sim phishing, malware e uma frase roubada ou espiada por cima do ombro. Num aparelho deixado desbloqueado, o bloqueio do app (PIN) e o desbloqueio biométrico são a proteção local.
Fora isso, a frase é a chave, então faça o backup no dia em que criar a conta: guarde-a num gerenciador de senhas confiável, ou imprima ou escreva à mão e guarde essa cópia num lugar seguro. E nunca cole a frase em lugar nenhum que não seja o próprio app.