Несколько правил. Выношу на обсуждение и дополнение. Вот они:

• Напишите заранее заявление в офисе мобильного оператора, что любые действия с SIM возможны только при личном присутствии
• Не используйте SMS-авторизацию. Используйте, например, YubiKey и менеджер паролей (например, KeePassXC).
• Бэкап п.2 на бумагу (с помощью Shamir Secret Sharing (ssss), и, например, gpg2 в симмметрином режиме. Шифруем нужные данные с помощью gpg2, печатаем на каждом листке бумаги. Длинный и случайный пароль симметричного шифрования делим ssss'ом и печатаем по одной дольке на каждой копии. Таким образом, чтобы собрать обратно бэкап yubikey-я — потребуется несколько таких "долек".
• Базу KeepassXC бэкапим в несколько мест, иногда — вообще в оффлайн.
• Дольки раздаем знакомым/кладем в сейфы в разных местах/whatever. Лишь бы не в одном месте, и чтобы злоумышленнику пришлось попотеть, чтобы собрать бэкап "юбика" обратно.
• Профит.

Получаем хорошо защищенную от атак платформу хранения паролей и 2FA, не привязанную к устройствам (кроме YubiKey), которую можно в любой момент восстановить в случае потери данных или YubiKey-я.