Ce n'est pas un peu dépassé le couple Password+MFA, à l'heure du Passkey ?
(C'est une question)

Je ne connais pas bien cette méthode d'authentification pour émettre mes propres hypothèses

Le mieux c'est de l'essayer, il y a une démo ici : https://passkey.org/

ca marche pas mal passkey mais l'adoption est lente. Le smartphone sert de clé avec validation en le déverrouillant (empreinte, code, etc). C'est clairement mieux qu'un mot de passe + 2FA.

Et que se passe-t-il si on perd ou se fait voler son smartphone ? Il y a environ 600.000 vols de smartphones par an en France.

https://www.tomsguide.fr/comment-des-telephones-et-ordinateurs-voles-se-retrouvent-a-des-milliers-de-kilometres/

Avec double authentification avec le téléphone volé? 

Et que se passe-t-il si on perd ou se fait voler son smartphone ? Il y a environ 600.000 vols de smartphones par an en France.

https://www.tomsguide.fr/comment-des-telephones-et-ordinateurs-voles-se-retrouvent-a-des-milliers-de-kilometres/

rien tu changes de smartphone et il devient la nouvelle passkey. pas besoin d'attendre la nouvelle SIM.

Conseil : Si vous perdez votre appareil Android, vous pourrez récupérer vos clés d'accès sur un nouvel appareil. Pour cela, connectez-vous à votre compte et indiquez le code, le schéma ou le mot de passe de sécurité de l'appareil perdu.

Source: https://support.google.com/chrome/answer/13168025

ton PC ou tablette peux aussi servir de passkey secondaire.

Les passkeys sont à destinés à remplacer les mots de passes, c'est un "nouveau" paradigme concernant l'authentification.
Et il s'agit de ce que j'ai susmentionné en tant que méthode passwordless.

En soi, le passwordless est intrinsèquement une méthode d'authentification multi facteurs, étant donné qu'elle crée une paire de clés cryptographique unique utilisable uniquement pour un site/une app précise, lors de l'authentification, un challenge est généralement utilisé et plusieurs facteurs entrent directement en ligne de compte, à savoir quelque chose que l'utilisateur dispose, soit la clé sur le device, et quelque chose que l'utilisateur est ou sait, soit respectivement les données biométriques ou le code PIN.

Si vous perdez votre téléphone, vous disposez d'une recovery key pour le 2FA, comme précédemment abordé.
Concernant les Authenticators, votre compte GAFAM (': sert en général de méthode de récupération, à condition que vous ayez synchronisé vos credentials:


Microsoft Authenticator

Il est possible de récupérer vos credentials à travers des méthodes de sign-ins legacy, à savoir un combinaison entre le couple email/password, email alternatif, et/ou encore numéro de téléphone, cela dépend des providers et de leurs politiques en termes de sécurité.

Tout cela à déjà été précédemment abordé, dont le passwordless, la perte... Il faut lire.

Aussi, vous ne prenez pas en compte les impondérables, tels que la plateforme utilisée, la detention de device compatible coté utilisateurs (Il existe encore des personnes n'ayant pas TPM, ou même, n'ayant tout simplement pas de smartphone), l'investissement, le temps de développement, le besoin contextualisé, la qualification et les capacités demandés, la réalisation d'un audit de sécurité du module custom, les possibles contraintes hébergement/d'infrastructure, ou encore la volonté de l'équipe, etc.

Oui, il y a toujours mieux que du legacy password + MFA, mais on n'utilise pas un ASN4G pour tuer un moustique posé sur un verre d'eau, même si on pourrait.

Avoir du MFA pour l'équipe, le proposer pour nous les membres, dans un premier temps c'est déjà très bien, arriver à l'enforcer serait encore mieux - au détriment probable d'une catégorie d'utilisateurs n'ayant pas la possibilité d'utiliser du TOTP -, engager un chantier passwordless dans le furtur, pourquoi pas, mais ils faut être rationnel et prioriser ce qui peut l'être, le but n'étant pas d'être forcément à la pointe de la technologie, mais d’apporter un minimum de sécurité.