Traté de encontrar un estándar que mencionara la vida útil de SME OTP, sin embargo, NIST ya no se recomienda usar SMS OTP debido al riesgo involucrado.
Independientemente de los problemas de seguridad, todavía necesito implementar SMS OTP y me gustaría conocer los criterios estándar para implementar SMS OTP. ¿Cuál debería ser la vida útil? ¿Cuánto tiempo debe esperar el usuario hasta que pueda solicitar otra OTP? ¿Puede el usuario solicitar la misma OTP nuevamente?
En caso de que realmente necesite implementar tal cosa: Paypal todavía usa SMS OTP. Generan un nuevo token cada 5 minutos y generarán uno nuevo a pedido si lo recuerdo correctamente.
Desde mi punto de vista, no hay razón para no hacerlo. Su intervalo de tiempo debe corresponder a otras medidas de seguridad (como la limitación de velocidad) para asegurarse de que la OTP no sea adivinable en ese intervalo de tiempo. Eso es lo único de lo que realmente se protege el lapso de tiempo. Esto se debe a que: si alguien se las arregla para llevar a cabo uno de los otros posibles ataques (MITM en la red móvil o atacar el teléfono móvil directamente utilizando malware), cada período de tiempo que el usuario toma para ingresar la clave legítimamente es suficiente para llevar a cabo el ataque también. .
Lea otras preguntas en las etiquetas one-time-password standards