テキスト面では、「Web Authn」という用語の使用は好ましくありません。エンドユーザーにとって混乱を招く可能性があるため、「セキュリティキー」などの表現に置き換えるべきだと考えます。
また、ここでは「ファーストファクター/パスワードレス認証」といった概念を考慮すること自体を極力避けたいです。この機能をリリースし、3〜4ヶ月間運用してみてから、その後の検討を行うべきだと考えます。
すでにメールでのログインをサポートしているため、技術的にはパスワードを忘れることも起こり得ます。
同意します。フローとしては、APIとWebAuthnキーが利用可能な場合はまずWebAuthnを試すものの、ユーザーが回避策を選べるようにすべきです。また、複数のWebAuthnデバイスを持つ場合もあるため、Googleがこの問題をどう扱っているかを参考にしてください(「別のオプションを選択」リンクなど)。
長期的な別タスクとして、@pmusaraj さん、Discourseアプリを2FAに活用できるのであれば、それは非常に素晴らしいアイデアだと思います。これにより、2FAの利用がより一般的になるでしょう。