Soy nuevo en el concepto de TOTP, pero, según tengo entendido, el secreto compartido de 16 caracteres codificado en base32 se almacena en la aplicación cliente (por ejemplo, Authy, FreeOTP). Esto significa que si elimino la aplicación, la clave se pierde y ya no puedo generar mis contraseñas de un solo uso.
Tanto iOS como Android ofrecen API para almacenar datos confidenciales en aplicaciones. En iOS, esto se conoce como la API de llavero. Lo que sucede después de eliminar la aplicación se basa en muchos factores diferentes, pero los elementos en el llavero de iOS persisten después de desinstalar las aplicaciones.
Para la aplicación Google Authenticator en Android, el secreto compartido se almacena simplemente dentro de un archivo de base de datos SQLite que solo puede leer la aplicación Google Authenticator. Si tiene un dispositivo Android rooteado, debería poder ver ese archivo y el secreto que contiene fácilmente.
En cuanto a otras aplicaciones u otras plataformas, no estoy seguro de la implementación, pero me sorprendería ver si está almacenado de otra manera.
Realmente depende de la aplicación. La codificación exacta de la semilla no es tan importante; siempre que la aplicación sepa cómo descodificar los datos y calcular el TOTP a pedido.
Dependiendo del perfil de seguridad del servicio para el que se está autentificando, puede ser bastante relevante considerar el cifrado de la semilla. Vale la pena considerar cualquier servicio provisto por el SO, pero no es a prueba de balas.
Debes considerar si quieres poder recuperar la semilla, por ejemplo. si el usuario cambia de teléfono o restaura una copia de seguridad; Y como recuperas la semilla. Si es recuperable, puede explotarse para filtrar la semilla.
Lea otras preguntas en las etiquetas one-time-password