Pontosan. A kivezetésre ítélt e-személyis (hardvertoken) azonosítás esetén egy egy példányban létező hardver birtoklása és egy PIN kód ismerete kellett a "boldogsághoz", a DÁP esetén (nem próbáltam ki, hogy ugyanazt az identitást fel lehet-e húzni több készülékre) kell egy megfelelő mobil, amit fel kell tudni oldani, és kell az usernév/jelszó, plusz a 2. faktor nem offline generált kód, hanem kérdés-válasz alapon megy, azaz lehetősége van azonosítani az eszközt is. (Tippelem, hogy itt is cert alapon, mint ahogy egy normális hardvertokennél).
A sima totp az csak annyival jobb a user/pass párosnál, hogy nem két, hanem három információt kell megismernie a támadónak, melyeknek a biztonságos tárolása kizárólag a felhasználón múlik - a "birtoklás"-t teljesen kihagyja a működésből.