ну что вы, что вы так плохо думаете о людях? Они, безусловно, понаставят многоуровневую этажерку кривой задней левой ног...а, это хвост, написанной блоатвари - totp поверх pass поверх gpg (того самого, где аффтыри ниасилили попатчить прикладную, не криптографическую ни разу, программку на эрланге), с отдельной кривой поделкой для чтения пароля, этот самый пароль приклеют стикером к экрану - но он нахрен не нужен, поскольку первый же залетный троянец стащит все что захочет через эти прекрасные интерфейсы.
> в ситуациях если OTP используется по назначению
в ситуациях, где otp использовался бы по назначению, телефон (модный-современный) не нужен вообще и только усугубляет катастрофу, брелок может и должен быть заменен без всякого геморроя (открыть стол и достать запасной), если уж вообще дошло до его использования, и все их - заменяет бумажка с пятью-десятью паролями на всякий пожарный случай - которую очень интересно посмотреть, как же сопрет троянец, если, конечно, хозяин не разворачивает ее всю старательно перед камерой наблюдения.
Но такой otp умер вместе с s/key десять лет назад, ибо был слишком надежен (даже не слишком надежная криптография до конца его не испортила, поскольку не оставляла возможностей подбора) и слишком сложен для макак - они никак не могли придумать, где бы в него засунуть пару нескучных rest api и гуевый диаложек.
Обратите внимание - он НИГДЕ в модном-современном вебе не реализован. Все ринулись в изобретательство квадратноколесных велосипедов.