No akkor mégegyszer... A ToTP shared secret _ha_ megfelelő helyen van tárolva az ügyfélnél, akkor jó lehet. Viszont a TOTP app bárhol is futhat az üf. oldalon, azaz a shared secret védett tárolására semmilyen feltételezéssel nem lehet élni a banki oldalon. Tudom, ha nem védetten tárolja, akkor az az ügyfél hülyesége, azonban az MNB elvárja, hogy az ügyfelet a bank a saját hülyeségétől is védje meg - amit TOTP használatakor nem tud megvalósítani, mivel nem tudja egy biztonságosnak elfogadott device-hoz (birtoklás) kötni a TOTP generálását.