"A birtoklásos történetre a fizikai kulcsot szokták példának hozni, csak ugye van minden plázában ez a szolgáltatás, hogy is hívjuk, ja, megvan, kulcsmásoló..."
Ami jelen esetben lehet "fájlmásolás root-ként" (odaviszek egy sima kulcsot, és lemásolják), lehet "fájlmásolás ha van rá r jogod" (kódkártyás kulcs), és lehet olyan is, hogy nem tudják megcsinálni (vannak olyan kulcsok, amihez az átlagos másolóknál eszköz sincs, nem, hogy nyers kulcs - és sem eszközt, sem nyers kulcsot nem vehetnek)
A fizikai kulcshoz képest a hardveres tokennek van egy olyan extra tulajdonsága, hogy a kulcs információinak egyik része gyakorlatilag nem nyerhető ki belőle - ezt egy fémdarab (fizikai kulcs) esetén nem igazán van meg - még a speciális pozícionált, több felülettel dolgozó kulcsok esetén sem, mert worst case öntéssel lehet csinálni "ugyanolyan" kulcsot - igaz, ez már nagyon a határeset :)
"A TOTP előnye hogy te nem osztod meg a másik féllel a shared secret-et"
Na ez az előny megy a levesbe akkor, amikor többen is használni szeretnék ugyanazt az identitást, meg akkor, ha -ahogy írtad is - a secret védelme gyenge vagy nincs is, és valaki elviszi úgy, hogy észre sem veszed.
Jól/biztonságosan tárolt secret, és annak szándékos megosztása nélkül teljesen jó _lehet_ a TOTP, mint 2. faktor, de ennek az ex cathedra történő kijelentéséhez mindenképp kell egy kockázatelemzés, mert van, ahol az a maradék kockázat sem engedhető meg, amit a "jól" használt TOTP tartalmaz.