Então, é pra ser isso aí.
Mas, como falei ali, até onde sei existe uma sequência lógica pra aprovar uma entrada.
Tentativa de entrada > digita senha > erra senha > não entra na conta > nada acontece feijoada, vai naquela lista lá de tentativas e bola pra frente.
Tentativa de entrada > digida senha > acerta senha > passou pelo estágio de segurança 1, bora pro 2 > notificação enviada para o app (estágio de segurança 2) para autenticar (seja aprovando, pegando código, etc.) > autenticação correta > entra na conta.