ถ้าโดย "รหัสตามเวลา" คุณหมายถึงรหัสผ่านแบบครั้งเดียวหกถึงแปดหลักที่ผู้ใช้ป้อน ดังนั้น ไม่ใช่ การประนีประนอมหนึ่งในนั้นจะไม่กระทบต่อรหัสผ่านในอนาคต นั่นเป็นเพราะรหัสผ่านแบบใช้ครั้งเดียวถูกสร้างขึ้นจากเอาต์พุต HMAC โดยมีรหัสลับที่ใช้ร่วมกันเป็นคีย์และประทับเวลาเป็นค่า หากผู้โจมตีสามารถระบุความลับที่ใช้ร่วมกันหรือเอาต์พุตอื่นๆ จากชุดของเอาต์พุตที่รู้จัก HMAC จะไม่ใช่รหัสยืนยันข้อความที่ปลอดภัย และขณะนี้เราเชื่อว่าเป็นเช่นนั้น
ยิ่งไปกว่านั้น รหัสผ่านแบบใช้ครั้งเดียวได้มาจากสี่ไบต์เท่านั้น ดังนั้นแม้ว่าจะพบว่า HMAC ที่มีฟังก์ชันแฮชที่กำหนดไม่ปลอดภัย โครงสร้าง TOTP ได้รับการออกแบบมาเพื่อเพิ่มการป้องกันเพิ่มเติมในการโจมตีในลักษณะที่เลือกไบต์ อย่างไรก็ตาม ตามที่กล่าวไว้ข้างต้น เราไม่มีเหตุผลที่จะเชื่อได้ว่า HMAC ที่มี SHA-1, SHA-256 หรือ SHA-512 (ซึ่งเป็นโครงสร้างที่ใช้ใน TOTP) มีความเสี่ยงต่อการโจมตีที่ดีกว่ากำลังดุร้ายเมื่อใช้ในลักษณะนี้ .
ถ้าโดย "คีย์ตามเวลา" คุณหมายถึงความลับที่ใช้ร่วมกัน (โดยปกติจะฝังอยู่ในโค้ด QR ที่สแกน) ที่ใช้เพื่อรับรหัสผ่านแบบใช้ครั้งเดียว ใช่แล้ว นั่นเป็นการประนีประนอมอย่างสมบูรณ์ เนื่องจากเป็นความลับที่ใช้ร่วมกันทั้งหมด และมันคือ เป็นไปได้ที่จะได้ผลลัพธ์ในอดีตและอนาคตทั้งหมดจากสิ่งนั้น