Igy van, ezért kell szabályzatban rögzíteni hogy a felhasználónak külső eszközt kell használnia és azt pedig védenie. Ezzel a megkötéssel lehet a megfelelelő biztonsági szintre emelni a TOTP-t. (valójában ugyanúgy le kell írni hogy a jelszavát se adja oda másnak, meg a mobil eszközén ne engedjen másnak pl. ujjlenyomatot rögzíteni, meg egy csomó más mindent is).