Nel nostro sistema utilizziamo algoritmo di password monouso basato sul tempo (Google Authenticator). Dal momento che attualmente non permettiamo che la finestra temporale e la validità del codice siano solo 30 secondi, abbiamo costantemente problemi con la de-sincronizzazione dei tempi sui dispositivi, che generano codici TOTP. Ciò significa che gli utenti non possono accedere perché inseriscono codici scaduti o in anticipo.
Sembra che sia una prassi generale consentire "finestre", in modo che il sistema consenta i codici validi per volta, che è vicino al preciso tempo corrente. La domanda è: per quanto tempo dovrebbero essere queste finestre? Esiste una pratica a livello di settore? Sto osservando un valore generalmente accettato, che è pratico, dato quanto è preciso il tempo di solito nella maggior parte dei telefoni con Google Authenticator ed è anche abbastanza sicuro. È 1 o 5 minuti o qualcos'altro?