Как внедрить двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально / Комментарии / Хабр

но это уже целых 5 факторов

Чёт много насчитали.

Для большинства приложений вполне можно настроить в том виде в котором это делают некоторые сервисы (даже вполне большие), т.е. сначала спросить имя пользователя, без пароля, а потом в зависимости от аккаунта выбрать продолжение. Например сначала спросить второй фактор, а потом уже перенаправлять на форму авторизации самого приложения. Конечно немного не обычно, но вполне себе рабочий вариант.