Ez kettős "hiba", hiszen a statikus jelszónak _is_ és a totp secret-nek (és ha van, az azt védő jelszónak is, bár ennek a bruteforce kitalálására tetszőleges próbálkozás és idő állhat a támadó rendelkezésére) a rossz kezekbe kerülésére van szükség. Úgyhogy a "semmire sem jó" nagyon nem igaz. Persze ha ott tárolod a secret-et, ahonnan a logint intézed, akkor elég egy keylogger meg a totp-s secreteket tartalmazó fájlt elvinni, azaz elég bejutni egy eszközre. Ez persze még bőven jobb, mint a sima usernév/statikus jelszó, de jobb, ha a totp secret másik eszközön található, de még jobb, ha ott, ahol csak lehet fido/fido2-t használ az emberfia - Ha sok totp-t kell még használni, akkor érdemes a drágább, ilyet tudó yubikey felé fordulni, ha viszont elsősorban fido/fido2 -t is tudó szolgáltatások védelméhez kell, akkor az olcsóbb security key-ből tessék venni kettőt :-P