Ha nem kizárólagosan az érintett férhet hozzá, akkor az pont olyan, mint a jelszó - tudás, nem pedig birtoklás. Birtoklás: Csak és kizárólag nálam van, és kizárólag én tudom használni. Egy bájtsorozatot lehet ismerni, de birtokolni nem, mert akár szándékosan, akár támadás útján meg_ismerheti_ más is, és onnantól ő is ugyanúgy képes használni.
A telefonban vagy máshol védett módon (TPM, hardvertoken, amiben a kulcs helyben generálódik, és a kulcstár memóriaterülete nem érhető el kívülről, stb.) tárolt secret (pl. privát kulcs) használata az eszköz birtoklását igényli, és szoftveresen kell biztosítani, hogy a használathoz az érintett megfelelően azonosítsa magát. A telefonban tárolt secret annyira lesz biztonságos 2. faktor, amennyire a készülék feloldása illetve a kulcs hazsnálatához szükséges azonosítás biztonságos. Ugyanez van a TOTP-vel is: ott az a kérdés, hogy a secret mennyire védett módon kerül tárolásra (mindkét(!) oldalon, azaz nem csak a kliensen, ahol a kódot generálja valamivel, hanem a szerver oldalon is, ahol a kódot ellenőrizni kell)