Telegram implementa el inicio de sesión / inicio de sesión con un número de teléfono móvil y una contraseña única de 5 dígitos. Creo que el flujo es algo parecido a esto:
- Agarre el número de teléfono móvil, genere un OTP, guárdelo y envíelo por SMS.
- Cuando el usuario introdujo el TOTP, verifique si hay una cuenta con un número de móvil que coincida y, de ser necesario, créelo. El usuario ahora está autenticado.
Mi pregunta es, ¿cómo es esto tan seguro como el registro / inicio de sesión "tradicional" con una contraseña fija? Si tuviera que implementar el mismo flujo en una aplicación mía, ¿a qué trampas debería tener cuidado? ¿Cómo puedo garantizar que la cuenta de un usuario no se vea comprometida por dicho flujo?