Escenario:
- Inicie sesión en el sitio (utilizando 2SV).
- La contraseña de un solo uso (OTP) se envía al dispositivo del cliente.
- El cliente no terminará el proceso de autenticación.
- Al día siguiente (digamos después de las 24 h), los usuarios inician sesión en el sitio nuevamente.
- La OTP generada ayer sigue siendo válida (se reenvió al dispositivo del cliente).
Según tengo entendido, con la OTP basada en el tiempo (TOTP) esto no debería suceder nunca, si la implementación es correcta. Preguntas:
- ¿Es este un enfoque válido para los esquemas OTP basados en HMAC, o este escenario indica un error en la implementación (es decir, el contador debería aumentar después del inicio de sesión subsiguiente)?
- Si el escenario no se considera seguro, ¿cuáles son las implicaciones de seguridad?