A "sima yubi"-n és "(mitm replay)"-en nem tudom egészen pontosan mit értesz, de YubiKey-jel természetesen nem működik a replay attack, hiszen a már felhasznált kódot érvényteleníti a szerver (kipróbáltam). Ha az a gond, hogy a Yubico a shared secret birtokában képes önmaga is valid jelszavakat generálni (vagy még ez sem kell, mert - elvileg - pl. az cccccfffffnsansansansansansa karaktersorozatra mondhatja a Yubico szervere mindig, hogy valid) akkor arra a megoldás a saját hittelesítő szerver felállítása (GPL-es, forráskóddal együtt adja a Yubico) + saját shared secret rakása a kulcsokba, amire van API és támogatott módszer. Ha az internetes szolgáltatások, mint pl. a LastPass igénybevétele nem szempont, hanem csak belső hálóra kell, akkor én így csinálnám.
"Sima yubihoz van kliens (úgyis USB-n lóg), ami ad egy időbélyeget amit a yubi lepecsétel és lesz belőle TOTP."
Emlékeim szerint ez úgy működik, hogy a yubikey második rekeszében tárolhatsz OTP-t tokent és sima passwordöt is. A Yubico gyakorlatilag semmi mást nem csinált, mint a Google Autneticator-t levédte egy sima passworddel (ami persze random meg hosszú meg minden), és ezt eltárolja a kulcson második jelszóként. Semmivel sem biztonságosabb, mint a sima yubikey használata. Pecsételni biztosan nem pecsétel a YubiKey, mert nincs benne ehhez szükséges aszimetrikus kulcsú kriptó.