SMS-код — это базовая защита, но не идеальная. Если номер перевыпустят, SIM украдут или сработает социнженерия у оператора, один только SMS уже не выглядит чем-то очень надёжным.
Обязательная 2FA заметно усилила бы защиту, особенно для тех, у кого в мессенджере много личных данных и рабочих чатов. Другое дело, что делать её именно обязательной для всех — спорно: часть людей просто начнёт путаться, терять доступ и ругаться на сервис.
Нормальный вариант — оставить SMS как основной вход, но дать возможность включить двухфакторку всем желающим, причём не формально, а удобно: пароль, резервные коды, уведомления о новых входах, понятное управление сеансами. Вот это было бы действительно полезно.