Вся эта история с MFA классно показывает, что защита есть, но она почти всегда только на этапе ввода второго фактора. Как только сессия запущена — токен в руках злоумышленника, и дальше без повторного MFA уже можно заходить. SMS и пушки — самое слабое звено, особенно с SIM-свопингом и утомлением пользователей, которые просто нажимают «Ок» после сотни уведомлений. Вот FIDO2 реально выстреливает, потому что привязан к домену и уже сложнее прокинуть.