Ich möchte an dieser Stelle einfach auf den Artikel von Yubico hier verweisen, und folgenden Tipp für KDE-Nutzer hinzufügen:
Ich habe anstelle der einzelnen Dateien im /etc/pam.d/ Ordner einfach den Befehl auth required pam_u2f.so in die /etc/pam.d/common-auth geschrieben. Damit habe ich auch am KDE-Lockscreen die 2FA-Authentication. Falls jemand von euch Tipps hat, wie man das selektiver lösen kann, gerne her mit Vorschlägen. Ich habe einfach die Datei für den kscreenlocker nicht gefunden.