Entiendo que esta cuenta sería práctica en caso de que pierdas el dispositivo donde tengas configurado el 2FA de la cuenta principal. Pero, en caso de posible hackeo tampoco serviría de mucho esta cuenta de respaldo, no? Es decir, una vez dentro del panel de administración yo directamente podría restablecer las contraseñas de todos los usuarios para inhabilitarlos(Incluyendo la de respaldo).
Si la cuenta admin principal es hackeada y no pudieras acceder con ella, la de respaldo te proporciona una posibilidad de acceso para hacer lo necesario y tomar control nuevamente. Saludos!