Тут многое зависит от того как 2fa реализовано. Если это в виде СМС кода, то да, есть методы перехвата СМС или получения дублей сим карт
2FA ("two-factor authentication", "двухфакторная аутентификация") на СМС-ках не бывает. Верификация на СМС-ках носит название "2SV", она же "two-step verification", она же "двухэтапная аутентификация". Обе аутентификации используют две проверки: первая проверка - по паролю, вторая - по какому-нибудь коду. Разница в том, у кого находится вещь, которая генерирует код: если у третьих лиц (как в случае с СМС) - это "двухэтапная" проверка, если у Вас (как в случае с Google Authenticator) - это "двухфакторная" проверка.
Подробнее про различия можно прочитать, к примеру,
в этой статье.
Что касается взломов, то 2FA в любом случае не страхует от всего на свете. Бывали случаи
ее обхода (обнаружения способа не связываться с ней вовсе) или получения данных
методами социальной инженерии.
Кстати, автору темы:
[...] 1) На почте обязательно используйте двухфакторную аутентификацию.
-Например, регистрируете в почте номер своего сотового и при каждом входе к вам прилетает SMS с доп.кодом для входа. Без него не войдете. Или создаете одноразовые пароли и используете их, как доп.средство защиты. [...]
Способ с SMS-ками, исходя из сказанного, не рекомендован (
материал в тему). Лучше для этих целей использовать программы-генераторы (Google Authenticator, Authy, Microsoft Authenticator, Яндекс.Ключ или
что там еще) или даже отдельное устройство (
токен) - если, конечно, они поддерживаются тем ресурсом, доступ к которому хочет защитить пользователь.