Dado un generador de contraseñas de un solo uso que está basado en el tiempo (como Google Authenticator), ¿cuántos instantes de pares (de tiempo, PIN) se necesitarían para debilitar significativamente el algoritmo hasta un punto en el que sería posible reducir ¿Posibles semillas para la función original? Si uno enviara los PIN a los clientes a través de SMS o correo electrónico (en lugar de usar un llavero o la aplicación real Google Authenticator que no le permite ver los PIN anteriores), un compromiso que revele los PIN anteriores sería una amenaza importante para el sistema ( tenga en cuenta que tanto los correos electrónicos como los SMS llevan información de tiempo relativamente precisa)?
La pregunta está relacionada con el diseño de un sistema de autenticación de dos factores sobre si debe incluir un almacenamiento de las contraseñas de un solo uso generadas con la hora. Si esto debilita significativamente la seguridad del sistema, entonces se podría argumentar que el diseño no debe incluir ningún almacenamiento de OTP anteriores (correos electrónicos, SMS u otros).
Por consejo de la gente sobre stackoverflow, esto se vuelve a preguntar aquí: enlace (la pregunta apuntará a esta aquí)