Em relação à autenticação de 2 fatores, acredito que seja interessante começar a pensar sobre https://passkeys.dev/. Que está sendo implementado pela W3C e FIDO Alliance, com o intuíto de se tornar o futuro do passwordless (mas também pode ser utilizado somente como 2FA).
Já há suporte inicial para produtos da Google, Apple e Microsoft. E também há algumas libraries indicadas para Rust, TypeScript, .NET, Go, Java, Python e Ruby.