Esto no es un error. El ataque que se está evitando aquí es el caso de que alguien robe su contraseña e inicie sesión en su cuenta desde su propia máquina.
Entonces, en este caso, dos factores nos ayudan a establecer confianza al demostrar que de hecho eres tú quien está intentando iniciar sesión en iCloud y no un atacante que robó solo tu contraseña. Las formas en que podemos lograr esto pueden clasificarse como "algo que tienes", "algo que eres" y "algo que sabes".
En este caso, tu contraseña es "algo que sabes". Tu iPhone y Mac son ambos "algo que tienes". Recuerde, su Mac ya ha iniciado sesión en iCloud y Apple confía en él a nivel de sistema.
Si alguien robara su contraseña (lo que usted sabe), aún requerirán acceso a su Mac O a su iPhone. Estos son ambos "algo que tienes". Como se indicó anteriormente, Apple ya confía en su Mac, por lo que presentar este código de dos factores en su Mac no es menos seguro que presentarlo en su iPhone. Para que un ataque tenga éxito, el atacante tendría que robar su contraseña y obtener acceso a uno de sus dispositivos de confianza (su Mac o iPhone). Entonces, dos factores son tan válidos que se presentan en su teléfono como en su Mac.