@zundan まあそうですよね。とはいえ現実的には
・スマホは各種サービスにアクセスする汎用端末として使われるので、パスワードを扱う必要がある
・追加の投資が不要なTOTPデバイスとしてスマホが要求されがち
という状況なので、パスワードマネージャとTOTPを完全に別デバイスに分けろ!というのは理想論が過ぎると思っています。普通の人はスマホ以外にデバイスを持ち運ばないので……。
実際の運用としても https://social.mikutter.hachune.net/@osa_k/110268653739341786 のようにパスワードマネージャは追加の要素を求めるので、「MFAを設定しない」状態よりはだいぶ安全な気がしています。