どう考えてもここでの回答よりもサポートの回答のほうが信頼できるので、サポートがないと言っているのならないと考えるのが妥当でしょう。
せっかくサポートに聞けるのだから、そちらに聞いたほうが良いと思います。

以下は自分の考えです。

TOTPを使ったことがあればわかると思いますが、名前のごとくTime-basedなので短時間でワンタイムパスワードが切り替わります。（一般的に30〜60秒程度）
つまり、その間に現実的に突破できないようにセキュアになっていれば十分と言えます。

簡単なのは、ワンタイムパスワードを入力する前に通常のパスワード認証をするはずなので、そちらのパスワードを十分複雑なルールで登録させることですね。
通常、普通のパスワード×ワンタイムパスワードの組み合わせで認証することになるので、その点を踏まえるとワンタイムパスワードが変わる時間内に正解を見つけることは事実上不可能に近いでしょう。

また、6桁の数字を生成することは計算機としては一瞬ですが、実際にリクエストを送ってレスポンスを待って…を繰り返した場合1回の試行に対するリードタイムが増えるのでさらに困難になります。