Podemos adotar o método mais padrão de usar uma sessão para autorizar outra (que pode ou não exigir autenticação de dois fatores) por meio de códigos QR.
O Discord faz isso muito bem:
O WhatsApp usa isso como o único método de login:
3 postagens foram mescladas em um tópico existente: Suporte ao WebAuthn