Вариация на сервис umputun/secrets. Только вместо pin-кода генерируется TOTP.
Изначально хотел поиграться с TOTP и не знал где применить. Потом услышал в подкасте Радио-Т про secrets и одно сошлось с другим.
Чтобы делать проверку TOTP приходится хранить его ключ. То есть теоретически, если база слита, то можно будет получить доступ к пин-кодам. Но шифрование происходит по секретному ключу, а данные хранятся в зашифрованном виде. А значит придется сломать вообще все. Сценарий маловероятный, там уж ничего не скроешь.