Estoy leyendo sobre 2FA basado en hardware y me pregunto sobre OTP basados en contador generados desde, por ejemplo, un Yubikey. He leído que en estos casos, al presionar un botón se genera una cadena compuesta por una clave pública, un contador y la OTP. El servicio verifica la OTP mediante la clave pública y el contador, y garantiza que el contador sea más alto que un contador utilizado anteriormente con esa clave pública en ese servicio .
Pero un servicio diferente no podría saber si esta OTP (para el contador 50, digamos) se ha utilizado en otro lugar. ¿Estoy en lo correcto o me falta algo? ¿Cómo se trata esto?