"hogyan tudna bárki más hozzáférni?"
A telefonon is valamilyen fájlban tárolódik a secret, a desktop alkalmazásban is fájlba van lerakva. HA ezt a fájlt elviszik, akkor máris hozzáfértek a secret-hez, hacsak nem védi az alkalmazás kellően erős jelszóval/titkosítással.
A "valamid van" azt kellene, hogy jelentse, hogy valami, ami neked és csak neked van meg, aminek a hiányát, más általi hozzáférést észleled (nincs nálad, nincs meg, stb.) - ennek a TOTP csak úgy tud (nagyjából) megfelelni, ha a secret generálására(!), továbbítására és tárolására, valamint a kód generálására kifejezetten szigorú megkötéseket alkalmazunk. Na ezek nincsenek meg az átlagos desktop TOTP motyókban: ha lenne bennük ilyesmi, akkor például a kód generálása előtt egy kellőene rős jelszót kérne be az alkalmazás, hogy a secret-et fel tudja olvasni... (És máris _tudás_ kell, nem birtoklás...)