Dato un generatore di password monouso basato sul tempo (come ad esempio Google Authenticator), quante coppie di coppie (temporali, PIN) avrebbero bisogno di indebolire significativamente l'algoritmo in un punto in cui si sarebbe in grado di restringere giù possibili semi alla funzione originale? Se si dovessero inviare PIN ai client via SMS o e-mail (invece di usare un telecomando o l'effettiva app Google Authenticator che non consente di vedere i PIN passati), un compromesso che rivela i PIN passati costituirebbe una minaccia significativa per il sistema ( si noti che sia le e-mail che gli SMS trasmettono informazioni sull'ora relativamente precise)?
La domanda è correlata alla progettazione di un sistema di autenticazione a due fattori sul fatto che debba comportare una memorizzazione con data e ora delle password monouso generate. Se questo indebolisce significativamente la sicurezza del sistema, allora si potrebbe sostenere che il design non dovrebbe includere alcuna memoria di OTP passati (e-mail, SMS o altro).
A titolo di consiglio su stackoverflow, questo viene riproposto qui: link (domanda che qui indicherà qui)