Грызун
> В итоге для входа мне нужно будет знать пароль от тотп аутентификатора. Один.

Пароль от самого аккаунта никуда не делся, его всё ещё надо вводить. Если раньше "пароль + код из СМС", то теперь "пароль + код из TOTP".

Безопасность в том, что в отличие от кода из СМС, одноразовый пароль — генерируется на стороне пользователя, истекает за минуту и привязан к конкретному ключу инициализации. Т.е. перестаёт работать фишинговая схема с подменой источника (вида "назовите код из СМС для подтверждения заказа / начисления бонусов / всякой посторонней фигни").