A tanulás is jó megoldás - a TOTP egy jól dokumentált eljárás egy megosztott titok és időpont alapján történő egyedi kód generálására. Ezt akárki kvázi akármilyen nyelven megírhatja - nem az algoritmusban vagy az azt implementáló szoftverben van biztonsági kockázat, hanem a megosztott titok biztonaságos tárolásában azon az oldalon, ami ennek használatával szeretné magát azonosítani. Szóval ebben a 2FA-ban az a kérdés, hogy a secret tárolásában mennyire bízol meg, hogy azt harmadik fél nem tudja megszerezni.
A GA (és a Microsoft authenticator is) képes a "felhőbe" a saját fiókba menteni a secret-et, ami a biztonság egyik "lába" miatt (rendelkezésre állás) jó (mivel van mentésed), a másik miatt (bizalmasság) meg nem annyira (harmadik félnél is ott van az adat, igaz a felhasználói fiókhoz történő hozzáférés korlátozott, illetve a fiókot kezelő entitásnak nem érdeke az egyén ezen azonosító adatát felhasználni).
Ennél biztonságosabb az, amit a DÁP valósít meg, az ugyanis egy külön csatornán (outband) kérdés-válasz alapon működve a teljes azonosítást elvégzi, nem csak egy második faktort biztosít.