ich kann dir nicht ganz folgen…weiß grad nicht ob ich dein anliegen richtig verstehe
bei mbo ist es doch so, dass du für einen x-beliebigen e-mail client das app passwort verwendest.
aber bei zugriff auf die weboberfläche und eingerichtetem 2fa, eine pin + 2fa verwendest.
also, wenn du app passwort eingerichtet hast und ein angreifer dieses passwort kennt, kommt er an deine mails, nicht aber an dein konto.
rein technisch betrachtet. nicht aber ob das weniger schlimm ist…