A TOTP shared secret-et használó authenticator alkalmazásnak kell azt jól védenie - ezért tartom rossz megoldásnak a helyben fájlban tárolást, de ugye más nem igazán van PC-n, ergo a külön eszközön tárolni/generálni a totp kódot kellene alkalmazni - az r=1 usereknek pláne.