He observado que varios formularios de inicio de sesión basados en la web que ofrecen autenticación de 2 factores realizan la entrada del token en un segundo formulario después de validar su nombre de usuario y contraseña.
¿Hay alguna razón para no pedir a las personas su token de autenticación de 2 factores al mismo tiempo que su nombre de usuario y contraseña?
Un formulario de inicio de sesión podría detectar un nombre de usuario que tiene habilitada la autenticación de 2 factores antes de completar el inicio de sesión y presentarles un cuadro de entrada de token en la página de inicio de sesión.
Esto perdería si un nombre de usuario dado tenía habilitada la autenticación de 2 factores, pero no confirmaría una contraseña válida sin un token válido.