Решений можно придумать кучу, например, не трогай is_active, а добавить еще поле wait_otp = True и после правильного ввода переводи в False, если надо на уровне сессий, сделай это поле в SessionStore
ЗЫ хотя если используешь django-mfa2, то скорее там всё это должно быть на уровне пакета.