Cuando uso la autenticación de dos factores de Google Authenticator, Google me dirá si la contraseña es incorrecta antes de pedirme un código de autenticación.
Esto va contra al menos una línea de razonamiento intuitiva: permite que un atacante compruebe si tiene la contraseña correcta antes de intentar atacar la autenticación de dos factores.
¿Cuáles son las compensaciones que hacen que esta sea una opción razonable en el caso de Google, y en general? ¿Cómo debería esto informar preguntas similares en otros espacios?
Esta pregunta es sobre 2FA en general, pero Google es solo un ejemplo ampliamente utilizado.