@TabithiS мне кажется, наиболее важным будет общий принцип, что вся цепочка безопасности разрывается по одному звену. Говорят, что самому слабому, но там скорее вероятности, разогнуться внезапно может и не оно.

И во-первых, есть звенья в некоторых неожиданных местах, вроде незащищённой сим-карты; и во-вторых, звенья на стороне сервиса далеко не всегда надёжны (опционально, помянуть haveibeenpwned).

Тут как раз есть место для визуальной демонстрации рисованием звеньев цепи на доске или где-то ещё. Можно показать, что одинаковый пароль на разных сервисах фактически образует "узел" в нескольких цепях, и может порвать несколько одновременно; а можно показать, как с 2FA образуется вторая цепочка, держащаяся на другом, и способная удержать оборону, даже если первая порвётся (тут можно сослаться на историю с Габеном, который публично опубликовал свои логин с паролем от стима в 2011 и предложил желающим попытаться в него попасть, сломав только второй фактор: https://www.gameinformer.com/b/news/archive/2011/03/04/gabe-newell-reveals-his-steam-password-dares-you-to-steal-his-account.aspx ).