Varias veces vi la implementación de SMS 2FA cuando un sitio web muestra "id de sesión de sms" (por ejemplo, token de 8 dígitos) justo después de enviar sms al usuario junto con el indicador OTP. Sms viene con OTP (por ejemplo, 4 dígitos) y el ID de sesión de sms (8 dígitos). El usuario debe verificar que el ID de sesión de sms en sms coincida con uno en la interfaz de usuario del sitio web y solo entonces ingrese la OTP. Si la identificación de la sesión de SMS no coincide, el usuario debe detener y evitar ingresar OTP.
¿Se está preguntando este tipo de flujo de trabajo por razones de seguridad? ¿Y la verificación de la identificación de sesión de sms protege contra algún tipo de ataque?
Un ejemplo de dicho flujo de trabajo: webmoney.ru