Это проблема сервиса в той мере, в которой он позволяет ввод пароля не отвечающего политикам безопасности. И возможность входа по email - а не уникальному идентификатору пользователя
А с чего вы взяли что 23andme "позволяет ввод пароля не отвечающего политикам безопасности" ? Их политике все пароли отвечают - ну там стандартные, минимум 8 (или сколько) символов, большие маленькие, цифры, знаки. Или вы про чью-то другую политику ? Типа как, пользователь должен им сообщить ВСЕ свои пароли от других сервисов сначала, а они ему скажут - во, эти не используй?
Это не задача сервиса, это исключительно пользовательская проблема. Никак и ничем идиоту не запретить использовать один и тот же пароль.
Единственное что тут поможет - принудительное включение 2FA для всех аккаунтов. Но это же новые проблемы, кому-то смски не будут приходить (русским, например). А другие способы 2FA требуют от пользователей дополнительных телодвижений - типа пусть еврейские бабушки ставят аппку для генерации одноразовых кодов?