Спасибо за развернутое предложение.
Двуфакторная авторизация совершенно точно появится, это в планах.
На каких устройствах выполнен вход и возможность выполнить принудительный выход на этих устройствах;
Журнал событий с указанием времени, IP-адреса и предполагаемого города/страны входа в аккаунт, а так же другие записи с указанием даты и времени - изменение пароля, добавление TOTP, добавление/изменение телефона и т.д;
Уведомление на почту/PUSH о входе в аккаунт и других действиях связанных с ним.
Эти пункты уже реализованы.
Вместе с двуфакторной авторизацией это создаст защиту акаунта на уровне банковских продуктов. А учитывая что это не банковский продукт, то нам такой уровень защиты кажется весьма высоким и достаточным.