Penso che la risposta generale sia "It dovrebbe essere ok, ma TOTP non è stato progettato per questo in modo da non avere alcuna garanzia".
Se ci immergiamo su come funziona il TOTP (descrizione generale su wikipedia , specifica completa in RFC 6238 ), il valore TOTP è calcolato come (esempio, semplificato)
SHA2_HMAC( secret_seed, system_time_rounded_to_30s )
Generalmente i server di accesso controllano tutti i valori temporali entro una finestra di +/- 5 minuti nel caso in cui l'orologio di sistema del dispositivo sia spento (necessario per i token TOTP hardware come quelli mostrati qui sotto che non hanno modo di sincronizzarsi).
Quindi i tuoi valori TOTP potrebbero essere ancora validi per ~ 5 minuti. Inoltre, come sottolinea @AndrolGenhald, possono tornare a essere validi se l'orologio di sistema del server viene ripristinato.
Questa domanda fa un buon lavoro nell'affrontare la parte "può il seme originale essere derivata" della tua domanda, la risposta generale è "non dovrebbe essere possibile fintanto che il secret_seed condiviso è di 32 byte o più" .
È anche possibile che l'implementazione del sito web abbia alcuni casi limite che infrangono questo consiglio generale. Ad esempio, alcuni siti Web emettono codici di recupero dell'account che assomigliano ai codici TOTP, ma non so se sono effettivamente correlati al seme TOTP o meno.
In conclusione: non riesco a pensare a nessun attacco pubblicando un elenco di codici OTP scaduti, ma non posso garantire che sia sicuro.
Se sei in un bar, probabilmente meglio fare attenzione a chi può spingere i tuoi codici TOTP. Se vuoi pubblicare vecchi codici online, probabilmente è meglio registrare un nuovo generatore di codice e scollegare l'altro dal tuo account prima di pubblicare.