A totp esetén a shared secret-et a mobil eszközödön "birtoklod" amit egy független csatornán (képernyő/fotó) juttatnak el hozzád, és a birtoklás tényét úgy tudod bizonyítani hogy a shared secretből egy adott időpontban mindketten generáltok egy kódot, és azt a kódot megosztjátok egymással. Ha ez egyezik akkor a birtoklás ténye igazolva lett.
E mellett szükség van a felhasználónév és jelszó párosra is, a totp kód ezt nem váltja ki, így lesz két faktorod.