Passmark two-way Auth

Bank of America가 Passmark Security 사의 기술을 사용하여 sitekey라는 two-factor 인증 서비스를 제공한다는군요.
Passmark Security 사의 기술은 간단하게 말하면,
자신만이 아는 이미지를 접속할 서버에 등록해놓고 이 이미지를 보여주는 사이트에만 패스워드를 입력함으로써 피싱을 막을 수 있다는 것입니다.

해당되는 이미지의 선택과 패스워드 입력을 동시에 해야하므로 two-factor라는 얘기인데요...
가짜 상점을 만들고 여기에 사진을 등록하게 한다면, 대부분의 사람들은 같은 이미지를 등록할 것 같고, 그렇게 되면 마찬가지로 피싱 공격에 노출되는 것 아닌가? 하는 의문이 듭니다.