Как система должна обрабатывать ошибки при использовании 2FA (например, неверный код, истекший срок, блокировка аккаунта)? Какие угрозы и пользовательские сценарии нужно учесть?