Ho già fatto una domanda qui A che serve aggiungere una sfida a un algoritmo di password monouso?
Supponiamo che un hacker sia riuscito a raccogliere token. C'è un modo per rilevare attività sospette con loro? Ad esempio, se l'utente crea un altro token e lo usa e gli hacker utilizzano i token precedenti, il server potrebbe rilevarlo come strano perché l'utente non avrebbe dovuto usare un nuovo token prima di quelli precedenti?