Национальный мессенджер Max (читают 7)

[Anton.K]

Вопрос стоит в том, что проще украсть - пароль или код из СМС.

Этот вопрос, хотя и представляет теоретический интерес, но в случае с ГУ смысла не имеет - здесь применяется двухфакторная авторизация, т.е. сначала пароль, а потом SMS/TOTP/MAX/биометрия (нужное подчеркнуть).

Нажмите на входе в ГУ Забыл пароль и поймёте, что скрипач пароль будет не нужен для входа.

В целом, верно, но есть нюанс - для входа всё равно нужен будет новый пароль.
Если "забыть пароль", то для восстановления пароля (фактически для его смены) достаточно SMS-кода (4 цифры, а не 6, как раньше при входе) и серии+номера паспорта.
После этого появляется напоминание, что доступ может быть ограничен на 72 часа после смены пароля.

Спойлер: Ограничение доступа на 72 часа после смены пароля

И новый пароль потом приходит в SMS - требуется явное подтверждение:

Спойлер: Подтверждение смены пароля

Проверено в веб-версии.
Примечательно, что до этого этапа ГУ не присылают на почту никаких предупреждений о попытке восстановления пароля.
Т.е. "перехват" SMS (вирус-стилер или соц.инжиниринг) и украденные номер-серия паспорта позволяют (мошенникам) сменить пароль (с последующим ограничением возможностей на 72 часа), НО войти в ГУ всё равно не получится, т.к. второй фактор (MAX/TOTP/биометрия) остаётся в силе (не проверял, но, полагаю, это так и есть)
С учётом этого запрет использования SMS (в двухфакторной авторизации), который пока активировали только для некоторых пользователей, действительно затрудняет мошенникам получение доступа к ГУ жертвы в случае "перехвата" SMS.