Stavo lavorando all'implementazione di una strategia OTP nel nostro processo di login di un'applicazione web quando mi stavo chiedendo: dovrei chiedere il token OTP prima o dopo per chiedere per nome utente / password?
Quello che generalmente vedo con i servizi che uso è, devo fornire il token OTP dopo che hanno verificato il mio nome utente / password.
Mi chiedevo se ciò fosse dovuto solo alle decisioni sull'esperienza degli utenti o se esistesse un aspetto di sicurezza.