Suponga un sistema 2FA con contraseñas proporcionadas por el usuario y tokens TOTP de 6 dígitos. No es posible probar un token TOTP sin autenticar primero con una contraseña, por lo que se presume que la persona que envía un token conoce la contraseña. Cada token se genera durante 30 segundos y también es válido dentro de los 30 segundos anteriores y la siguiente ventana de 30 segundos junto con el token "en ese momento".
Es bastante común ver falsas alarmas porque el token tardó un poco en ingresar, por lo que los tokens no pueden ser mucho más prácticos.
¿Debería un cierto número de entradas de token incorrectas en una fila resultar en una invalidación forzada de la contraseña, en el supuesto de que la contraseña se haya filtrado? problema con el segundo factor que eventualmente desaparecerá.) Si los sistemas 2FA actuales y ampliamente utilizados hacen esto, ¿cuáles son los umbrales típicos?
Soy consciente de que RFC 4226 sugiere un parámetro de regulación de 5. No estoy seguro de qué sucede exactamente después de alcanzar el umbral. Cierre de cuenta? ¿Contraseña invalidada? ¿Espera un poco y permite volver a intentarlo?