Semplice, parecchi fornitori di servizi per validare l'accesso richiedono, oltre a nome utente e password, anche un codice usa e getta, generalmente trasmesso tramite SMS, email, ecc.
In questo modo le probabilità di accesso da parte di malintenzionati si riducono in maniera significativa.
Va da sé che se bucano i server dei suddetti fornitori di servizi tutto ciò rischia di non servire a nulla, ma stiamo parlando di un qualcosa di (presumibilmente) ben altro livello rispetto al "semplice" tentativo di furto di credenziali dell'utente comune.