Я уже упоминал, что однофакторная аутентификация надёжна, если один фактор -- это пароль. Если вход по смс -- тут возможны различные варианты завладевания номером.

Иногда на 2ФА переводят принудительно. А иногда -- неявно.

Уже не первый раз встречаюсь с ситуацией, когда при включённой 1ФА ввести пароль оказывается недостаточно.

"А давайте вы ЕЩЁ введёте код из привязанного почтового ящика. Мы вам отправили"
"А какой ответ на контрольный вопрос?"
предыдущий пароль вспомнить сможете?"
"Когда вы в прошлый раз заходили в аккаунт?"

(тут, конечно, есть и мои фантазии)

Ёпт, не знаю, смогут ли эту информацию указать злоумышленники, но владелец аккаунта указать сможет не всегда.

Давайте уж лучше принудительную 2ФА, а не эти квесты.