@kirill да, у меня примерно та же картина. В итоге отп на отдельном девайсе это и есть в моем случае их генерация на ключе. Это слабее, но пойдет мне, так как сгенеренный отп недолго живет...но я еще думаю об отдельном девайсе, так как есть не экспортируемые отп у некоторых сервисов с их "крутыми решениями". При этом проблема бэкапов есть, решать ее думаю шифрованием бэкапа вторым ключём, но если не доверять девайсу в момент бэкапа, то решается это только регом обоих ключей везде по отдельности.