При включении двухфакторки выдается либо QR код, либо просто фраза (секрет).
Их сохраняет приложение должно сохранить у себя, сгенерировать первый раз код и ввести на сайте.
Таким образом сайт понимает, что если Вы сгенерировали код - значит Вы сможете генерировать его повторно сколько нужно раз.
Исходя уже из этого - при включении двухфакторки нужно сохранять либо код, либо секрет (что больше нравится, при расшифровке кода как раз и получается этот секрет) - и использовать его всегда, когда нужно получить новый код для ввода на сайте.
На видео получается обманка 2-фа или я что-то не так понимаю...
На сколько я понимаю, домен
xss-google.com
точно не пренадлежит google.
Возможно автор видео просто создал себе сайтик, который возвращает код двухфакторной авторизации по своей базе аккаунтов (но, это не точно - не проверял).