Habe ich. Ist am Ende aber auch wieder nur ein weiteres Passwort, dass entweder kurz ist oder umständlich. Und von der Sicherheit her schwächer als ein Einmalpasswort bei 2FA (oder zweifelst du das etwa auch an?). Insbesondere, weil die 2FA dafür sorgt, dass der Angreifer erst garnicht auf den Server kommt und das Userpasswort nur, dass der Nutzer nicht gleich root ist (in den seltensten Fällen aber verhindert, dass ausführbarer code nachgeladen wird, etc...)
Finde ich ja toll: Es gibt deutlich sicherere moderne Methoden, aber es wird vehement also non-plus ultra verteidigt, was zwar vor 10 Jahren top war aber jetzt nur noch gut.