Я работаю над расширением Google TOTP для Play-Silhouette, см. соответствующий проект Play-Silhouette-Seed здесь и задавался вопросом, является ли царапина или коды восстановления зависят от порядка. Под чувствительностью к порядку я подразумеваю, что они должны быть использованы один раз и в указанном порядке, вроде кодов разблокировки мобильного телефона PIN/PUK/PUK2.
Еще один связанный с этим вопрос ... это очевидно, но лучше быть уверенным. Хранятся ли скретч-коды так же, как и пароли? тоже зашифровано и солено? Думаю, имело бы смысл относиться к ним как к паролям... или?