ну а как они получают вообще доступ к апи ключу если у меня стимгуард)
В этом и смысл - никак.
Статья(мне лень писать было):
С помощью заманивания пользователей на сайт с поддельной формой авторизации - пользователь вводит логин и пароль с проверочным кодом из аутентификатора и фейковый сайт моментально создает API ключ, который он в последствии использует.
Единственное как ты можешь отдать его мошенникам - зарегаться на фейк сайте, если ты адекватный то ты различаешь где что и как