Es un hecho establecido que el mensaje de error de las páginas de inicio de sesión no debe especificar si la contraseña o la identificación es el problema.
Pero para una aplicación con autenticación de múltiples factores, deberíamos pedir otro factor solo cuando la conexión de inicio de sesión / paso sea correcta o todas las veces, solo para enviar un mensaje "autenticación fallida" si cualquiera de las dos es incorrecta.
En mi opinión, la opción clásica es mejor UX, ya que no hace que el usuario llegue a su teléfono, usbkey o lo que sea su segundo factor.
Por otro lado, siempre pregunte si un atacante debe verificar si obtuvo la contraseña correcta.
Entonces, la pregunta es: ¿deberíamos preguntar todos los factores cada vez o solo después de que se haya validado el anterior?
Nota: para el tipo de factor múltiple de SMS, el envío de sms en caso de un nombre de usuario existente pero una contraseña incorrecta es discutible, pero no lo tenga en cuenta, ya que ampliaría innecesariamente la pregunta.