Deine Bank übertreibt es für den Log-in: Passwort reicht, nur alle 90 Tage ist einmal ein 2. Faktor nötig
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1806_Star...
Zugriff auf das Online-Konto
Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.
Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen.