Der Report von Retool und der Kommentar von Golem haben Recht – TOTP ist kein adequates Werkzeug im Firmenkontext.

Das Problem ist aber weniger der Sync, wie Authy und Google Authenticator ihn machen. Das Problem ist, an der Sicherheit auf dem letzten Meter zu knausern und keine Yubikeys auszuteilen, weil jeder ja schon ein Handy hat.