Nếu theo "khóa dựa trên thời gian", ý của bạn là mật khẩu một lần có sáu đến tám chữ số mà người dùng nhập, thì không, việc xâm phạm một trong số đó sẽ không ảnh hưởng đến mật khẩu trong tương lai. Đó là vì mật khẩu dùng một lần được tạo từ đầu ra HMAC với bí mật dùng chung làm khóa và dấu thời gian làm giá trị. Nếu kẻ tấn công có thể xác định bí mật được chia sẻ hoặc các kết quả đầu ra khác từ một tập hợp các kết quả đầu ra đã biết, thì HMAC sẽ không phải là mã xác thực thông báo an toàn và chúng tôi hiện cho rằng đúng như vậy.
Ngoài ra, mật khẩu một lần chỉ được lấy từ bốn trong số các byte đó, vì vậy ngay cả khi HMAC với hàm băm đã cho được phát hiện là không an toàn, thì cấu trúc TOTP được thiết kế để thêm một số khả năng chống tấn công bổ sung theo cách nó chọn byte. Tuy nhiên, như đã đề cập ở trên, chúng tôi không có lý do gì để tin rằng HMAC với SHA-1, SHA-256 hoặc SHA-512 (là các cấu trúc được sử dụng trong TOTP) dễ bị tấn công hơn vũ phu khi được sử dụng theo cách này .
Nếu theo "khóa dựa trên thời gian", ý bạn là bí mật được chia sẻ (thường được nhúng trong mã QR được quét) được sử dụng để lấy mật khẩu một lần, thì vâng, đó là một sự thỏa hiệp hoàn toàn, vì đó là toàn bộ bí mật được chia sẻ và đó là có thể lấy được tất cả các đầu ra trong quá khứ và tương lai từ đó.
