Én azt csinálnám, hogy akinek nincs 2FA bekapcsolva, az átmenetileg csak levelezni tud, de identitásként nem használható a fiókja - mindezt átmeneti időre, és utána az imap és hasonló dolgokat szépen kivezetném a búsba - pont azért, mert csak egy usernév/jelszó kell hozzá, ami sajnos manapság már nagyon kevés.
A "hányan ismerik a jelszavadat" jó kérdés - lehet, hogy csak te, de az, hogy csak és kizárólag a statikus usernév/jelszó páros azonosít, az kevés, annak ismeretében bármikor lejátszható egy bejelentkezés a nevedben - míg 2FA esetén meg a tokenednek az induló értékét is meg kell szerezni ahhoz, hogy az azzal generált idő alapú kódot ki lehessen számolni.