Da hast du absolut recht! Es kommt aber auch auf die Methode an. SMS 2FA Kann man abfangen und wurde als "unsicher" abgestempelt (der CCC hat das mal ganz aufschlussreich gezeigt). Ist aber dennoch besser als nix. 2FA via extra App ist schon schwieriger abzufangen, da der Hacker dafür physisch dein Gerät braucht (es sei denn du hast dem Browser gesagt, dass du diesem Gerät vertraust und er deswegen 2FA nicht mehr abfragt). Das kann er nicht mal eben remote abfangen...zumindest noch nicht. Aber auch dazu sagt der CCC dass es nur eine Frage der Zeit ist, bis man auch das umgehen kann. Aber aktuell ist man mit 2FA via Authorizierungs-App am sichersten.
Fakt ist, wer im Jahre 2021 nur noch auf ein Passwort für all seine Online-Dienste vertraut, ist ziemlich verloren...