можно ли QR-код и секретный ключ

Абидно, объяснение плохое получилось - не поняли. попробую еще раз

Итак, есть сервер с важными данными и есть клиент с приложением вторичной авторизации.

Пользователь попадает на сервер с помощью логина, затем может/должен включить на сервере вторичную авторизацию.

Сервер генерирует код, который пользователь может считать исключительно визуально, лучше как QR код, чтобы не было ошибок. Клиент после получения кода и подтверждения пользователя! сохраняет его локально и должен отправить серверу подтверждение о регистрации, чтобы не было повторной регистрации. Также генерируется локальный код, который пользователь вводит на сервер. Первый шаг окончен.

При повторном логине нужно просто считать постоянно генерируемый код именно для данного сервера и немедленно ввести его на сервер.

Так что вам могут прислать только новый логин с отключенной двухфакторной авторизацией.

Ну так может вы ответите на вопрос

нет. . Согласно теории это должно быть затруднено. Но как сделано на самом деле неизвестно. Скорее всего что нет или да. Если делать так, как не рекомендуется, то вполне может получиться. Ну и особых стандартов безопасности не нашел. Так что вторую сессию вероятно тоже можно будет записать.