Ho delle chiavette che generano OTP strettamente time-based ma, anche se mi pare strano, potrei non avere/aver avuto *tutte* le chiavette disponibili sul mercato. Vero però che la tolleranza è scelta da chi riceve e quindi si potrebbe anche avere un sito che accetta OTP stagionate.
Tutte le app che ho visto sono time-based, ma anche qui la scelta è di chi riceve.
Sicuramente il meglio sono le app che mandano in proprio quello che gli pare al sito, data/ora compresa, e non costringono ai lavori che i robot non vogliono più fare quali il penosissimo Ctrl-C/Ctrl-V umano.

Però non mi è chiaro perché generare proprio 9 token… e non “alcuni” o “10”.