Какие trade-offs существуют между использованием TOTP и WebAuthn в MFA? В каких сценариях использования один из методов предпочтительнее?