TOTP ist ja Zeitbasiert und naja es ist ja das Ziel den SHA-1 hash mit key und counter zu errechnen wobei counter
Zeitbasiert ist - konkret die Unix UTC Zeit modulo der Periode.
Die "Windowsize" ist ja dazu da um nicht ganz gleich laufende Systeme zu unterstützen aber bei
Stunden wenn nicht Tagen macht das Verfahren ja wenig Sinn.

Also entweder den counter selbst immer um eins hochzählen wenn die Eingabe gemacht wurde oder
evt. noch besser: Einen Fido Key nehmen das ist grad das so ziemlich Sicherste was es gibt.
Das Funktioniert dann auch ganz ohne Passwort bzw. man muss es nur beim Erstellen angeben wenn gewünscht
-> also einstecken, draufdrücken, fertig

Kann man das auch zum Laufen bringen, wenn der Service-Techniker z.B. per Remote-Desktop oder TeamViewer auf das System geht?

Der Guide besagt, dass User Authentication (pin) und
oder User Presence (also drücken des Keys) benutzt werden können. Also ein Pin reicht prinzipiell bzw.
auch ein einfaches drücken.

WebAuthn ist ja eigentlich auch fürs Web konzipiert und auch in allen aktuellen Browsern implementiert (über die Webauthn.dll).

Das Ding ist nur... wenn die Zeit nicht aktuell ist, dann wird er auch kein Internet haben also in diesem Fall muss ein Techniker vor Ort sein.

Hmm...

Wenn die Uhrzeiten nicht übereinstimmen, kann es eigentlich nicht funktionieren (TOTP) und Webbasierende Authendkeys gehen wegen fehlendem Internet nicht.

Alternativ kannst Du Dir deine eigene, angepasste TOTP KeyGen-Routine erstellen, bei der nicht die Uhrzeit des lokalen Systems genommen wird, sondern eine übergebene.

Der Techniker muss dann in der HandyApp neben dem OQ-Code z.B. eine zusätzlich angezeigte Uhrzeit mit angeben, welche dann für den KeyGen verwendet wird, oder dein QRCode enthält zusätzlich die Uhrzeit zum Einscannen mit der Handy-App.

Da beide Seiten (Maschinen und Handy-App) von Dir kommen, kannst Du hier ja beliebig erweitern.

Kannst dann zwar keine fertigen Tools für TOTP verwenden, aber die Implementierung in Delphi und deiner App ist simpel und kannst Du als Source im Netz finden.

Oder man sieht im Programm die Möglichkeit einer Zeitangabe vor. Dann kann man auf dem Handy eine Standard-App nehmen. Natürlich ist das unsicherer, denn bei Eingabe einer beliebigen Zeit kann man ja einen beliebigen Code generieren lassen. Vielleicht kann man diese Zeitangabe ja beschränken auf +/-24h der Rechnerzeit. Das ist dann zwar immernoch nicht 100% sicher, aber schon deutlich besser. Das setzt natürlich voraus, dass die Rechnerzeit nicht beliebig abweicht.