Quindi la domanda è stata inizialmente posta come parte della domanda UX qui .
La mia domanda è: ci sono dei rischi per la sicurezza quando invio automaticamente l'OTP? Attualmente, sto limitando il numero di tentativi di verifica dal lato back-end.
Quali sono i punti che dovresti tenere a mente mentre invii automaticamente l'OTP? Sto progettando l'app per la piattaforma mobile.
Non riesco a vedere alcuna implicazione per la sicurezza con l'invio automatico di un campo anziché richiedere che facciano clic su un pulsante per inviare l'OTP. Nel peggiore dei casi potresti avere qualche invio di password errato in più quando qualcuno fa un refuso e lo invia prima di poterlo correggere.
Suppongo che potrebbe essere un problema di accessibilità se si imposta il numero di tentativi molto bassi e gli account bloccati di conseguenza.
C'è un piccolo potenziale che quando si abbassa la barriera di 2FA è così che le persone non possono mettersi nello sforzo mentale di notare quando qualcosa non va link (anche se quel link specifico si riferisce al riempimento automatico da un messaggio SMS)
Leggi altre domande sui tag authentication account-security attack-prevention risk-analysis one-time-password