Ok. Gutes Argument. Dann bleiben uns nur noch zwei Möglichkeiten: 

a) Die Latte für einen Einbruch in ein IT-System so hoch wie möglich legen. Oder. 

b)  Zugang zu jeden beliebigen Nutzerkonto ohne Irgendeiner Legitimationsprüfung

Auch wenn ich die Contra-2FA Antworten hier ziemlich dämlich finde, so ist doch eines zu bedenken:

Wenn beim Anbieter die komplette Datenbank, einschließlich des Shared-Secrets der zugehörigen 2nd Factors abgegriffen wird, dann bringt 2FA tatsächlich keine zusätzliche Sicherheit gegen serverseitige Hacks. Das sollte man bedenken.

2FA ist überall dorft gut, wo du dein Passwort in einer unsicheren Umgebung, etwa ein befallener PC, ein öffentlicher PC, ein belauschter PC, etc., eingeben musst. Gegen serverseitige Hacks bei denen der Seed deines 2nd Factors abgegriffen wird, nutzt es dir nichts, weil man damit ganz einfach den passenden Token selbst errechnen kann.

Ich stimme dir zu. Abolute Sicherheit wird es nicht geben. Allerdings, wie in einem meiner Posts vorher schon beschrieben, sollte dann die Latte für den Einbruch so hoch wie möglich sein. Genrell finde ich es problematisch, dass die Telefonnummer als nicht zu kompromitierende Verifikationsinstanz von so vielen Services angesehen und verwendet wird.

Mal davon abgesehen: 2FA soll kommen https://telekomhilft.telekom.de/t5/E-Mail-Center/Telekom-Mail-2-Faktor-Authentifizierung/m-p/3713543#M147432

Die Frage wird sein wann.