Да, теперь понятно, что классический MFA вроде SMS или TOTP уже не панацея. Эти прокси для перехвата сессий — реально страшный уровень, где даже код из приложения не спасает. Push-уведомления тоже далеко не всегда надёжны из-за усталости пользователей. FIDO2, наверное, единственный, кто серьезно поднимает защиту, но пока его особо не везде внедрили и люди часто просто не понимают, зачем он нужен.