Tenga en cuenta: no estoy necesariamente hablando sobre lo que sucede cuando un hombro navega cuando alguien ingresa una OTP. Estoy bastante seguro de que es casi imposible (o extremadamente poco práctico) adivinar la siguiente o cualquier contraseña disponible basada en una.
Lo que pregunto está relacionado con cómo se puede almacenar una semilla en una lista de contraseñas, como ejemplo.
El escenario:
SELECCIONAR * DE Contraseñas;
Ahora, dentro de esta tabla, ¿es probable que se almacene un número de serie / número de referencia / llavero de RNG de OTP? Si es así, ¿es posible que un atacante pueda asumir o conocer el dispositivo o aplicación de generador de OTP estandarizado del sitio (normalmente sería seguro asumir que solo se usa un dispositivo) y usar la semilla para generar OTP válidas?
Si estoy usando la terminología incorrectamente, un ejemplo específico sería la autenticación de Google. ¿Cómo es que el número que genera está vinculado para que sea válido solo para una cuenta? ¿Cómo puede una persona que tiene el enlace no poder generar una lista de números idénticos?
Relacionado: Cómo para almacenar de forma segura las semillas OTP en el servidor de validación Aceptaría esto lo suficientemente cerca.