Двухфакторная аутентификация с использованием OTP-кодов (одноразовых паролей) работает как дополнительный метод проверки входа в учётную запись. 13

Процесс происходит так: сервис запрашивает OTP-код в момент логина пользователя. 1 Этот код может генерироваться в специальном приложении на устройстве пользователя. 1 Чаще сервисы отправляют проверочный код в виде SMS, письма на электронную почту, пуш-уведомления, сообщения в мессенджере или даже голосового звонка. 1

Затем пользователь вводит OTP-код на странице входа в систему, чтобы получить доступ к системе или завершить транзакцию. 3

Для расчёта пароля принимаются два параметра — секретный ключ (начальное значение для генератора) и текущее значение времени (или внутренний счётчик). 5 Секретный ключ хранится одновременно как в самом устройстве, так и на сервере аутентификации. 5

Использование OTP-кодов значительно повышает уровень защиты, но даже при таком способе аутентификации личные аккаунты могут быть уязвимы для OTP-ботов — автоматизированного ПО, которое выманивает у пользователей одноразовые пароли методом социальной инженерии. 1