Какие виды 2FA существуют, чем TOTP отличается от WebAuthn/Passkeys, и почему SMS-2FA сейчас не рекомендуют?