Az a gond hogy nem segít mert nem ez a támadás, ezért mondtam hogy amikor security-ről beszélünk akkor threat model-t kell felírni.
Nagyon kicsi a valódi különbség a között hogy hardware-es vagy szoftveres TOTP generálás van, egyszerűen azért, mert a nap végén akkor fogsz tudni belépni ha nálad van az eszköz (akár HW akár mobil). Sőt, mivel lényegében mindenki használ a mobilján valamilyen védelmet (pin kód, ujjlenyomat, face lock, stb.) ezért ennek valójában magasabb lesz a védelmi szintje ilyen szempontból.
A probléma az hogy ha a támadó fogja és lemásolja a bank weboldalát akkor tök mindegy hogy honnan számolod ki a TOTP kódot, azt át fogod küldeni, és igy a MITM támadás sikerülni fog.
Ilyen szempontból pedig tök mindegy hogy SMS-t küldesz vagy pedig TOTP kódot kérsz be, a támadás sikerén nem fog változtatni.