Teniendo en cuenta los tokens de hardware que implementan OATH TOTP (c.f. RFC6238 ), es de conocimiento general que el reloj de estos tokens se mueve. Es probable que un token que no se usa con mucha frecuencia se desvíe más allá de la ventana de sincronización que usa un servidor de autenticación, por lo que puede ser necesaria la resincronización.
Una forma simple de resincronización es simplemente ampliar la ventana de búsqueda, y esto probablemente funcione en la mayoría de los casos. Pero si la ventana de búsqueda es demasiado grande, existe un pequeño riesgo de que el token se sincronice incorrectamente (suponiendo que se repita una OTP). No he hecho los cálculos, pero esto es probablemente raro.
He escuchado sobre los métodos de resincronización que toman una secuencia de OTP para volver a sincronizar. Esto daría una resincronización precisa, por supuesto, pero a costa de que el usuario espere dos o tres PTO.
Sé que algunos proveedores de servicios de token y autenticación han implementado un método donde el usuario puede obtener información parcial sobre el reloj en la pantalla, de modo que la información de tiempo + OTP se usa como entrada para la resincronización proceso.
No he visto ninguno de los RFC de OATH que dan una recomendación concreta sobre cómo volver a sincronizar. Me pregunto si alguien en este foro conoce métodos comúnmente utilizados en la industria; en particular, ¿cuál es su opinión sobre la última variante que describo?