Entonces, la pregunta se formuló originalmente como parte de la pregunta de UX aquí .
Mi pregunta es que, ¿hay algún riesgo de seguridad involucrado cuando envío automáticamente la OTP? Actualmente, estoy limitando el número de intentos de verificación desde el lado backend.
¿Cuáles son los puntos que se deben tener en cuenta al enviar automáticamente la OTP? Estoy diseñando la aplicación para la plataforma móvil.
No puedo ver ninguna implicación de seguridad con el envío automático de un campo en lugar de requerir que hagan clic en un botón para enviar la OTP. En el peor de los casos, es posible que tenga más envíos incorrectos de contraseñas cuando las personas realicen un error tipográfico y los envíe antes de que puedan corregirlo.
Supongo que podría ser un problema de accesibilidad si establece el número de intentos muy bajo y las cuentas bloqueadas como resultado.
Existe un pequeño potencial de que cuando se baja la barrera de 2FA, las personas bajas no pueden hacer un esfuerzo mental para notar cuando algo está mal enlace (aunque ese enlace específico se refiere al llenado automático desde un mensaje SMS)
Lea otras preguntas en las etiquetas authentication account-security attack-prevention risk-analysis one-time-password