OTP può essere implementato utilizzando Google Authenticator o inviando SMS all'utente. Il codice GA viene creato utilizzando un timestamp e il codice scade se viene utilizzato dopo un po 'di tempo.
Tuttavia, in caso di SMS, il valore OTP viene salvato nel database sul lato server. Il client può impiegare qualsiasi quantità di tempo e quindi inviare il valore OTP. Allora perché la scadenza è necessaria in questo caso? Non sono in grado di pensare a nessun compromesso sulla sicurezza. Si prega di segnalare le preoccupazioni dovute a OTP senza scadenza.