Rein theoretisch wäre die Variante: Benutzerpasswort + EFI-PW an neuen Macs (mit verlöteter SSD) auch nicht das unsicherste.
Vorteile: Wenn man das EFI-PW vergisst, sind anders als bei FileVault (Wiederherstellungsschlüssel) die Daten nicht verloren, da es bei Apple/AASP entfernt werden kann, gegen Vorlage eines Kaufnachweises.
Zudem ist dieser Weg auch noch der bessere Diebstahlschutz (jedenfalls theoretisch), denn mit aktivem EFI-PW kann ein Langfinger mit dem Gerät nichts anfangen, mit FileVault schon; klar, man könnte auch einfach doppelt sicher gehen & sowohl als auch aktivieren. Des Weiteren hat man keine Performanceeinbussen, wie sie mit FileVault unweigerlich eintreten - jede(r) der etwas anderes behauptet, kopiert keine grossen Dateien bei aktivem FileVault hin und her.
Ausbauen kann man die SSD faktisch nicht, und von einem alternativen Medium booten auch nicht, folglich ist das Sicherheitsniveau in der Praxis ähnlich, wenn nicht gleich hoch. Und neine, auch der Single-User-Mode lässt sich bei aktivem EFI-PW nicht nutzen ohne vorherige Eingabe des EFI-PWs.