Comme j'ai écrit au dessus, il existe des solutions pour contourner le 2fa. Les plus méfiants/mieux sécurisés ne tomberont pas dans le panneau mais le phishing reste possible. A contrario une clé hardware va communiquer directement avec le site qu'on souhaite visiter et si le nom de domaine n'est pas parfaitement reconnu, alors la communication échouera.

Ca ne date pas d'aujourd'hui et si on reste prudent le 2fa n'est pas si vulnérable non plus.