Considere el siguiente escenario (del mundo real): Al realizar una compra en línea con tarjeta de crédito / débito, el banco envía un SMS con 4 “contraseñas” numeradas diferentes y luego solicita al usuario que ingrese una específica (1, 2, 3 o 4).
¿Qué ventajas de seguridad ofrece esto, en lugar de solo enviar un único código?
No agrega nada.
El problema con SMS es que 2FA es que un SMS puede ser interceptado en tránsito o capturado desde el teléfono del usuario debido a malware. Enviar uno, cuatro o cien códigos es lo mismo. Si el atacante puede obtener uno, puede obtener todos ellos.
Podría darle al usuario una tarjeta con cientos de códigos y enviar un mensaje solicitando uno específico, como este:
De esta manera, a menos que el atacante obtenga la tarjeta de contraseña Y intercepte el mensaje, el usuario estará protegido.
Lea otras preguntas en las etiquetas authentication one-time-password multi-factor