Ça reste leur choix, et ça fait partie des risques à prendre en compte pour une personne qui prend la décision d'utiliser leur code dans leurs propres projets. Leur forcer la main pour activer du 2FA (peu importe que ce soit efficace ou non, c'est un autre débat) est abusif.