Tra l’altro, credo che gli otp non siano “time based”. Sicuramente quelli della chiavetta non li erano, quindi qualcuno consigliava di generarne 9 e segnarseli su un foglietto per evitare di portarsi dietro il token, cancellandoli man mano che venivano usati.
Per amore di scienza, puoi fare la stessa prova con l’app, scrivendo un paio di numeri e provando a fare il login sul sito dopo qualche minuto, quindi teoricamente quando sarebbero scaduti.