Primär geht es darum, dass der 2. Faktor ein zeitlich begrenztes Passwort ist (30 Sekunden). Ein potentieller Angreifer hat also im Grunde nur 30 Sekunden Zeit dieses zu erraten. Danach ist es ungültig und ein neues Passwort muss erraten werden. Im Gegensatz dazu ist der 1. Faktor weitestgehend statisch. Das reguläre Passwort wechselt man nicht alle paar Sekunden. Vielleicht in Ausnahme mal alle paar Monate oder Jahre, aber im Gegensatz zu dem 30 Sekunden dauernden 2. Faktor ist das praktisch statisch. Daher ist TOTP Nicht einfach nur ein längeres 1. Passwort, sondern bringt noch eine Zeitkomponente mit rein.
Das heißt aber nur, dass der Angreifer nie völlig sicher sein kann, dass er den zweiten Faktor irgendwann knackt. Wenn er den ersten Faktor geknackt hat und dieser statisch ist, müsste er nur noch den zweiten Faktor knacken, was aber nach meiner Einschätzung nur eine Frage der Zeit (im wahrsten Sinn des Wortes) und der Anzahl der Versuche ist. Je nachdem, wie der Algorithmus funktioniert, lässt man den zweiten Faktor immer gleich und diese Ziffern sind dann zu irgendeiner Zeit auch korrekt. Oder man probiert immer verschiedene Codes, hier hat man (immerhin!) eine statistische Wahrscheinlichkeit von 1:1.000.000 bei jedem Versuch
Es kommt also m.E. für die Sicherheit entscheidend darauf an, dass bei geknacktem ersten Faktor und nachfolgend falschem (oder zumindest nach mehreren falschen) zweiten Faktor(en) der Angreifer zeitnah an weiteren Versuchen gehindert wird. Also entweder der Zugang sofort komplett gesperrt wird oder der rechtmäßige Benutzer sofort über den geknackten ersten Faktor informiert wird und dann nach mehr als Zeit x ohne Änderung des geknackten Faktors der Zugang komplett gespert wird. Lässt man den Angreifer einfach bis zum St. Nimmerleinstag gewähren, ist jegliche zusätzliche Sicherheit dahin.