Ce que j'ai montré n'a rien de payant, c'est intégré nativement à SMF, et en beta depuis 2014.
Concernant une éventuelle extension payante, en soit c'est simplement le modèle capitaliste dans lequel nous sommes, et cela s'applique pour tous types de CMS existant.
J'ai eu l'occasion de gérer plusieurs forums, sur plusieurs plate-forme, allant de vBulletin à IPB en passant par phpBB ou autre pun/fluxbb, et force de reconnaître que de nos jours, l'authentification multifacteur est un fondement de la sécurité de l'identité, à mon sens il faut différencier la criticité du besoin, et la demande du public, le public n'a pas forcément conscience des risques encourus alors que nous, administrateurs, avons une vue d'ensemble ainsi qu'une responsabilité envers les données et la sécurité de nos utilisateurs.
En revanche il ne faut pas aller non plus à l'extrême. Le ratio temps/coût de développement et d'intégration d'une solution passwordless pour un forum est overkill, d'autant plus que cela requiert des pré-requis que toutes plateformes clientes ne peuvent pas forcément supporter.
Cela peut être un chantier réalisé sur le long terme, mais pour l'instant le landscape actuel consiste en l'arrêt de transmission des mots de passe en clair par email, et l'ajout d'un facteur pour éviter l'overtake d'un compte, tout cela le plus simplement possible par l'équipe, et si possible, sans augmenter la surface d'attaque en utilisant d'obscures plugins probablement non audités.