Seria mais interessante ter um cadastro de equipamentos do que o segundo fator de autenticação através do qr code. Nem sempre o usuário está com o celular por perto para poder habilitar o acesso web, além do fato de se estou com o celular para que vou fazer o acesso web?
Acredito que o 2fA poderia ser feito com uma notificação push no celular, perguntando no primeiro acesso através de um dispositivo web se o usuário deseja cadastrar aquele dispositivo como confiável. Com isso os próximos acessos seriam feitos somente com usuário e senha através daquele dispositivo! Lembrando ainda que este acesso pode ser somente leitura e caso queira realizar alguma modificação o aplicativo poderia exibir o qr code para autenticar no app.