Oké, de hogyan tudna bárki más hozzáférni? Van egy adott folyamat ahol tudsz generálni egy adott shared secret-et. Ezt be tudod olvasni, és csak és kizárólag nálad lesz meg. A te feladatod azt hogy ezt úgy tárold az eszközödön (ez lesz előírva) hogy ahhoz más ne tudjon hozzáférni, például pin kóddal vagy biometrikus azonosítással kell védeni (akár mind a telefont, mind az alkalmazást). Innentől kezdve ha elveszted az eszközöd akkor már nem tudsz belépni, tehát innentől - legalábbis szerintem - ez birtoklás alapú második faktor.
Amit a neten találtam, ott is ezt írják:
One-time passwords, including TOTP, are a common possession or "something you have" factor and help increase the security of your users accounts.
https://www.twilio.com/docs/glossary/totp
Szóval kiváncsian várok olyan forrást, ahol azt írják hogy a TOTP az knowledge based.