Scenario:
- Accedi al sito (utilizzando 2SV).
- Password One-Time (OTP) viene inviata al dispositivo del cliente.
- Il client non terminerà il processo di autenticazione.
- Il giorno successivo (diciamo dopo 24 ore) gli utenti si collegano nuovamente al sito.
- L'OTP generato ieri è ancora valido (è stato inviato nuovamente al dispositivo del cliente).
Per quanto ho capito, con l'OTP (TOTP) basato sul tempo questo non dovrebbe mai accadere, se l'implementazione è corretta. Domande:
- Si tratta di un approccio valido per schemi OTP basati su HMAC o questo scenario indica un errore nell'implementazione (vale a dire che il contatore dovrebbe aumentare dopo il login successivo)?
- Se lo scenario non è considerato sicuro, quali sono le implicazioni sulla sicurezza?