Pypi ne doit rien aux développeurs (ni à ses utilisateurs), c'est un service gratuit et bien pratique qu'ils offrent, ils ont donc tout à fait le droit de choisir les contraintes qu'ils veulent pour pouvoir publier dessus (et honnêtement, c'est pas franchement contraignant). Si ces développeurs ne veulent pas de 2FA, rien ne les empêche d'aller voir ailleurs.
Par contre, les utilisateurs n'ont pas franchement de moyen de savoir si le développeur utilise du 2FA sur Pypi, donc le risque est compliqué à prendre en compte pour eux.