Me preguntaba sobre la seguridad de los códigos TOTP.
¿Existe alguna seguridad criptográfica alrededor del secreto para evitar que un usuario pueda adivinar el secreto después de capturar una variedad de códigos TOTP? Por ejemplo:
El atacante rastrea las credenciales en una red de destino donde el SSO está sobre HTTP usando Usuario: Pwd: TOTP. Después de algún tiempo, ¿puede el atacante hacer una conjetura razonable sobre qué es el secreto de TOTP al observar qué secretos producen cada código TOTP y restringir los resultados?