Como habilito Contas Associadas com 2FA?

@dylanh724, essa é a minha situação. Não utilizo apenas sub-endereços RFC 5233, mas partes locais diferentes (embora com o mesmo subdomínio) por serviço:

Consequentemente, quero explicar que o seguinte não faz sentido:

Tenho a 2FA habilitada. Atualmente, via TOTP, mas futuramente será via CTAP1, quando o seguinte for resolvido:

Isso é apenas para entrada de nome de usuário e senha. Além disso, tenho a 1FA CTAP2 ativa para a conta. Ela também está ativa para todas as alternativas OAuth possíveis, tornando o argumento citado para impedir a conexão de opções alternativas de SSO bastante ultrapassado.