Elvileg a szerver oldalon is el kell tárolni egy másolatot (ha ez nem így van akkor javítsatok ki, én csak kliens oldalon használtam, de ez tűnik logikusnak).
Azaz ha te mindent meg is teszel a kliens oldalon, jó szoftvert választasz ami nem menti el a felhőbe, nem küldi haza, nincs benne sechole amivel ki lehetne nyerni, figyelsz rá hogy senki más ne fotózza le a QR kódot, meggyőződsz róla hogy titkosított csatornán kaptad, nem írod le sehova a secretet, nem jegyzed meg hogy esetleg részegen kifecsegd valakinek stb. akkor is lehet hogy a szerver oldalról kiszivárog.
Azaz - szerintem - a TOTP esetén rögtön két fél is ismeri a secretet, ezért shared, és emiatt már nem csak te kontrollálod hogy ki férhet hozzá.