Szerintem te nem veszed figyelembe a kétfaktoros autentikáció lényegét. A kétfaktoros autentikáció abból indul ki, hogy külön-külön egyik faktor sem biztonságos. Tehát teljesen felesleges azzal dobálózni, hogy a TOTP secretet milyen szuperbiztonságos™ okostelefonos autentikátor tárolja, miközben ott van plaintextben az SQLite fájlban az alkalmazás tárhelyén a BASE32 secret és bármilyen rooting malware (vagy az autentikátort kompromittálni képes malware) játszva hozzáfér. Legalább is, a szuperbiztonságos™ Google, Microsoft autentikátoroknál így van. Sem az egyik, sem a másik faktort egymagában nem tekintjük biztonságosnak. Tehát egymagában a PC-t sem, az okostelefont sem, az SMS-t sem. Két faktor együtt biztonságos.
Szerintem azt sem veszed figyelembe, hogy egyes támadási vektorok mennyire kivitelezhetők a való életben. Láthattál egy demót az SMS elkapkodásáról, mert a Google ilyenekkel szórja tele az Internetet mostanában, hogy riogasson, FUD-oljon, az RCS szutykát erőltetendő.
Egy TOTP secretet egyszer kell átküldeni, ráadásul nyilván HTTPS-en jön, ennek ez az "in flight" biztonsága.
Cserébe elég egyszer ellopni, ami Androidos kártevőkkel megvalósítható távolról és egészen a lebukásig használható. Sőt el lehet kapni screenshot-készítő spyware-rel (QR-kód), el lehet kapni malicious Chrome extension-nel is, ami rálát a DOM-ra.
Az SMS meg _minden alkalommal_ kódolatlanul jön "in flight".
Igen és tart 1-5 percig az érvényessége a kódnak, cserébe minden alkalommal oda kell vánszorogni az áldozat mellé, elkapkodni a hálózatról az SMS-t egy olyan felszereléssel, ami minimum haladó, ha nem professzionális rádiós és telekommunikációs ismereteket igényel.