Questo non ha senso.
Esiste un'interessante differenza fondamentale tra password e TOTP / HOTP.
TOTP è un algoritmo simmetrico. Il server e il client condividono le stesse informazioni. Condividono la chiave segreta OTP, l'ora sincronizzata e l'ultimo timecounter per evitare la riproduzione.
Al contrario il meccanismo di autenticazione della password non condivide le informazioni. L'utente conosce la password, ma il server non conosce la password. Conosce solo l'hash salato e forse pepato della password. Cioè il server non ha tutti i componenti necessari per conoscere, ciò che l'utente conosce - cioè la password!
Anche in questo caso, nel caso di TOTP il server ha tutte le informazioni. L'utente non ha alcuna informazione aggiuntiva. Ciò significa che se si desidera utilizzare TOTP per crittografare qualcosa sul server, il server disporrà anche di tutte le informazioni per crittografarlo / decodificarlo. Ciò significa che i dati crittografati e la chiave di crittografia (o le informazioni che utilizzi per creare la chiave di crittografia) si trovano sul server.
La domanda è, quali minacce vuoi mitigare.
L'attenuazione della minaccia di iniezioni SQL e il furto del database possono essere affrontati utilizzando una chiave di crittografia a livello di applicazione, che non è archiviata nel database. In questo caso è persino meglio che creare una chiave di crittografia da qualsiasi materiale TOTP, che probabilmente è anche memorizzato nel database, poiché l'hacker otterrebbe i dati crittografati e le informazioni per creare la chiave di crittografia quando ha rubato il database.