Behauptung: die meisten oder zumindestens lautesten von denen, die nun 2FA einfordern, haben 2FA nicht verstanden.
Wie kommt der zweite Faktor zustande? SMS ist bäh, TOTP steht und fällt damit, daß das gemeinsame Geheimnis auch wirklich geheim bleibt. Da muß man dem Hersteller der App trauen, dem Hersteller des Betriebssystems sowieso.
Doch viel wichtiger: Mit 2FA kann man nur interaktive Logins schützen. Beispiel: Ich habe einen Webmailer, der 2FA unterstützt. Der Nutzer ist derselbe, der sich mit submission und IMAPS anmeldet, selber Nutzername, selbes Paßwort und eben kein zweiter Faktor. Das heißt, es gibt mehrere Türen zum Zimmer “Mailbox”, von denen nur eine Tür (Webmailer) noch mal mit einem zweiten Schloß gesichert ist.
Anders zum Beispiel mein NextCloud: Da gibts auch 2FA, und es wird auch automatisiert zugegriffen (z.B. der Desktop-Client, Kalender, Adreßbuch…) Dafür gibts dann App-Paßwörter. Das heißt, daß der Nutzername überall derselbe ist, der Kalender aber ein anderes Paßwort als das Adreßbuch hat usw. Dabei werden die Paßwörter von Nextcloud selber generiert und sehen ziemlich stark aus — merken kann man sich die definitiv nicht.
Google macht das genauso.
2FA heißt eben nicht, daß damit automatisch mehr Sicherheit gewonnen wird, es kommt schon darauf an, wie 2FA implementiert ist.
Immerhin schadet es nichts, 2FA anzuschalten.