Igy van. A TOTP egy második faktor, ahol a tudást (shared secret) védeni kell, pont úgy, mint ahogy a jelszavunkat se írjuk fel sárga cetlire. Ennek a klasszikus védelme egyébként
a shared secret titkosítva tárolása az eszközön, a titkosításhoz használt kulcsot pedig biometrikusan védve szokták tárolni (erre mind ios, mind android ad megoldást).
Továbbá védeni kell a szerver oldalt kipörgetés ellen is, szóval az egész authentikáció egyébként nagyon-nagyon szívatós, és jól csinálni közel sem olyan egyszerű, mint ahogy
az ember gondolja.