Далее конечно странно: автор, который учит ничему не доверять, предлагает использовать неизвестный сайт и вводить туда свои данные;D

Сайт вполне себе известный. И для паролей у них есть хитрая схема с хешами для проверки что пароль в базе но при этом не сливая пароля - https://haveibeenpwned.com/Passwords + есть плагины к разным joomla. Всякие 1Password'ы тоже умеют и логины и пароли искать там.

А вообще чтобы не страдать если e-mail утечет - используем например SimpleLogin(и да, SimpleLogin можно поставить и себе на сервер если есть куда, а можно и просто catchall на своем домене(чем это хуже SimpleLogin - вопрос отдельный, если кратко - SimpleLogin удобнее))

В связи с этим удалите SMS 2FA со всех аккаунтов. Это очень уязвимый фактор аутентификации, и в этом плане ваша двухфакторка настолько же защищает вас, насколько и может сдать. Лучшими двухфакторками являются приложения для аутентификации, такие как Authy, Microsoft/Google Authenticators.

Я же правильно понимаю что все повально российские банки и госуслуги уже поддерживают что то кроме SMS?
И даже в гугле уже обычный пользователь может сделать так что по привязанному номеру нельзя сбросить пароль?