TOTP Implementation Security Flaws Exploit DeltaChat for Unified Access

Software & AppsApr 18, 2026score 0.786 posts · 5 replies across 5 instances

A user detailed a workaround using DeltaChat to unify Time-based One-Time Password (TOTP) access across multiple, disparate accounts (including those from Gosuslugi) into a single private chat group. This method allows a single generated key to unlock logins across both desktop and mobile DeltaChat instances, even for different individuals.

Security concerns immediately surfaced regarding this implementation. @zetroot flagged sharing the 'shared secret' to an external platform as an immediate security risk, labeling it an InfoSec 'leak'. Opposing the methodology, @[email protected] questioned the need for this workaround, citing existing tools like FreeOTP which also support backup key creation. Further skepticism came from @[email protected], who dismissed the action as dangerous.

The discussion lacks a clear consensus on TOTP deployment. The core conflict pits convenience (unified key access via DeltaChat) against established security protocol (the danger of circulating shared secrets). The critical fault line remains whether the perceived convenience outweighs the stated risk of secret leakage.

Key points

SUPPORT

A single TOTP key was successfully configured within a private DeltaChat group to manage multiple accounts, including personal and relative profiles.

The initial poster (@[email protected]) demonstrated this capability for Gosuslugi accounts across different devices.

OPPOSE

Sharing the 'shared secret' for TOTP via an external chat platform constitutes a severe security risk, labeled a 'leak'.

This warning was issued by @[email protected] based on InfoSec best practices.

OPPOSE

Existing solutions like FreeOTP were cited as alternatives that support backup key functionality, questioning the necessity of the DeltaChat method.

@[email protected] pointed out that FreeOTP already offers backup copy features.

OPPOSE

The proposed method was openly criticized by some as inherently dangerous and unwise.

@[email protected] dismissed the action with the phrase, 'shooting yourself in the groin'.

Source posts

@[email protected]

Спасибо тем, кто посоветовал #DeltaChat в качестве удобного #TOTP

2 boosts · 1 favs · 5 replies · Dec 25, 2025

#deltachat#totp

@[email protected]

Анимационный фильм «BLOODBORNE» с рейтингом R находится в разработке.

Над проектом работает ютубер Jacksepticeye.

#news

src: t.me/hikikomori_on/81161

0 boosts · 0 favs · 0 replies · Apr 14, 2026

#news

@[email protected]

@johan 1) Госуслуги позволяют подключать #TOTP (вместо SMS & MAX);
2) в каталоге аппликух внутри DeltaChat есть очень приличный лаконичный ТОТР;
3) поскольку [я параноик и справка есть] я сделал группу в DC, в которой два моих аккаунта (можно хоть 222):
— chatmail для нормального интернета
— почтовая учётка для случаев чебурнета
4) приложение ТОТР добавил в эту группу.

И теперь когда я один раз прописал код из Госуслуг в это приложение ТОТР, я могу открывать ключ для входа хоть на десктопном DeltaChat, хоть на мобильном.
Вот на скриншоте - уже две разные учётки Госуслуг, моя и бабушки :)

0 boosts · 0 favs · 1 replies · Dec 25, 2025

#totp

@[email protected]

Світла мало, інтернету мало, тому традиційний п'ятничний пост буде максимально короткий.

З п'ятницею! 🙂 
#tgif

0 boosts · 0 favs · 0 replies · Jan 16, 2026

#tgif

@[email protected]

Теперь точно официально. Пятницу сезону #ForAllMankind  быть! А ещё запустили в производство спинофф про советов!

0 boosts · 0 favs · 0 replies · Apr 18, 2024

#forallmankind

@[email protected]

#строительство #OSHW #? @rf
Порекомендуйте OSHW дом с каркасом из стальных профилей (не ЛСТК)!

2 boosts · 0 favs · 0 replies · Jun 21, 2025

#oshw#строительство