@omasanori @zundan ごめんなさい、前者が分かりませんでした。パスワードがある、そこにセキュリティキーを足したい、なら、二要素目も三要素目もなく、一要素目のパスワードで認証するしか無い気がしました。
「既存でもあるし」というのはその通りだなと思い直しました。自分が問題じゃないのかな、と思ってるのは、多要素認証の代替として一要素Passkeyを推してるのを複数箇所で見たから、で、そこを書いてなくてごめんなさい。ここは多要素からのデグレじゃないの?(なんでそれを許したままなの?)と思ってしまいます