TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.

Здесь не TOTP, а просто пароль. Сравнить с SMS напрямую не получится, зависит от модели угроз и организации защиты информации со стороны пользователя.

Но раз уж затронули TOTP: я удивляюсь, почему эта простая и действенная технология не используется банками. Как минимум в качестве опции, альтернативы. Я бы как клиент с удовольствием с SMS на TOTP перешёл. И банку дешевле. Win-win.