Con Google Authenticator alguien podría tener la contraseña, entrar, ver que le está solicitando el token OTP y quedarse ahí. El atacante seguiría teniendo la contraseña, que podría estar usando en otras identidades sin que lo supiera la víctima, y además tendría tiempo para preparar un ataque al OTP de Google Authenticator para robarlo.