@kirill да, у меня примерно та же картина. В итоге отп на отдельном девайсе это и есть в моем случае их генерация на ключе. Это слабее, но пойдет мне, так как сгенеренный отп недолго живет...но я еще думаю об отдельном девайсе, так как есть не экспортируемые отп у некоторых сервисов с их "крутыми решениями". При этом проблема бэкапов есть, решать ее думаю шифрованием бэкапа вторым ключём, но если не доверять девайсу в момент бэкапа, то решается это только регом обоих ключей везде по отдельности.
@kirill в итоге простого и ясного решения нет, но есть сносное. Все на отп либо аппаратном ключе. Риск только в момент переноса секретов куда-то. Я это просто на запасном ноуте делать буду, он новый и почти не юзаю его :)