Tan segura como que alguien llame al que te presta el servicio haciendose pasar por ti diciendo que ha perdido el teléfono y que por favor le desactive la verificación en 2 pasos. Unos se resistirán más que otros pero en los casos que más se resistan un poco de ingeniería social hace el resto.

La resistencia de una cadena se mide por su eslabón más débil. De nada sirve el algoritmo de protección más potente si una simple llamada para que lo desactiven cuela.

#2 Todo depende del que preste el servicio. Es evidente que unos serán más propensos que otros. La verificación en 2 pasos ahora se usa en muchos tipos de servicios.

Por ejemplo, es muy típico ponérselo ahora a los juegos de suscripción online como método de protección. En teoría está muy bien, pero ya me he cansado de leer en foros protestas airadas de jugadores que con esta protección activa se quejan de que alguien se ha hecho pasar por ellos y que tras llamar al servicio de atención al cliente haciendose pasar por ellos han conseguido que les desactivaran la protección.

Vamso, que entiendo que no es lo mismo un juego que por ejemplo tu cuenta bancaria. Es de esperar que el banco tomara muchas más precauciones antes de desactivarlo, pero el hecho está ahí. De poco sirve la protección si el que te ataca puede conseguir de una forma u otra que el prestador del servicio desactive la protección.