TOTP自体ブルートフォースアタックからどう守るかが永遠の課題
30秒ごとに6桁の数字が変わっても、下手な鉄砲も数打ちゃ当たるで
成功する可能性はある

https://security.stackexchange.com/a/185917

かといってアカウントをロックしたりするとDoS攻撃に繋がるので
怪しいログイン試行に警告を出してマスターパスワード変えてもらう方が現実的

データベースに保存されてる秘密鍵が盗まれても突破出来るけど
その前にマスターパスワードを破る必要はあり
保管庫の内容はマスターパスワードが無いと復号できないし
大規模な攻撃あったら運営がリセットするはず
多分