Szerintem azt nem veszed figyelembe hogy az akármilyen darab információnak van "in flight" és "at rest" titkossága/biztonságossága.
Egy TOTP secretet egyszer kell átküldeni, ráadásul nyilván HTTPS-en jön, ennek ez az "in flight" biztonsága.
"At rest" mondjuk bele van téve a mobileszköz secret store-jába, valamilyen biztonsággal.
Az SMS meg _minden alkalommal_ kódolatlanul jön "in flight".