Защита от подмены кодов в Google Authenticator работает благодаря алгоритму TOTP (Time-based One-Time Password Algorithm). 1

Одноразовый код, генерируемый по этому алгоритму, завязан на текущее время у сервера и клиента, а также на секретный хэш. 1 Сервер, управляющий учётной записью, и приложение обмениваются хэшем только один раз при добавлении аккаунта. 1 Далее они никак не связываются, ведь хэш и актуальное время известны обеим сторонам. 1

Такой подход защищает от перехвата одноразовых кодов. 1 Кроме того, код меняется каждые 30 секунд и действителен один раз, что усложняет задачу атакующему, даже если он подсмотрит последовательность символов. 1

Также для надёжной защиты данных в Google Authenticator можно использовать экран конфиденциальности: перед использованием приложения понадобится вводить PIN-код, графический ключ или проходить другую проверку на устройстве, например биометрическую. 3