Por lo que entiendo, las contraseñas de un solo uso basadas en el tiempo usaron un algoritmo de semilla y matemático para generar contraseñas únicas. Como la semilla es conocida por el usuario (o el dispositivo usado por el usuario) y el servidor de autenticación. Sin embargo, esto significa que si la base de datos se filtra, la semilla será conocida por el atacante.
Al igual que con una fuga en la base de datos, un atacante puede conocer tanto la contraseña como la OTP. ¿La One Time Password basada en el tiempo mejora la seguridad en caso de fuga en la base de datos? ¿O es el objetivo de la OTP solo para evitar que un atacante se autentique cuando conoce la contraseña de otra manera (otra filtración en la base de datos, ingeniería social ...)?