Я хочу установить приложение "Google Authenticator" и сделать пару сотен аккаунтов, если же я буду получать для всех аккаунтов код с одного приложение, есть ли вероятность что могут спалить?
Такой вероятности нет.
2FA работает примерно так - берем какую-то точку с координатами X и Y.
X храним на сервере.
Y отдаем тебе в качестве секрета (переводим в HASH).
Далее на своей стороне сервер выполняет какую-то функцию f(secret, timestamp) в результате которой получает code
А ты на своей стороне выполняешь что-то функцию f(secret, timestamp) и также получаешь code.
И вот, когда ты отправляешь код на сервер, сервер подставляет в уравнение данный код и проверяет, принадлежит ли точка указанной прямой. Если принадлежит - значит всё ок. Иначе - ошибка.
(пример придуман от балды, чтобы проще было понять принцип работы...)
Так вот, Google Authenticator не занимается ничем, кроме вычисление результата функции f(secret, timestamp) и никуда никакие данные не передает и никак никого не оповещает каким образом был получен результат данной функции.