У меня есть система одноразовых паролей, реализованная для моего веб-сайта с использованием RFC 4226. Этот пароль отправляется в виде SMS на мобильное устройство. Пользователь может получить пароль только на свое мобильное устройство, срок действия пароля истекает через 15 минут.
У пользователей также есть стандартный буквенно-цифровой «мастер-пароль», который обычно используется. Я реализовал рабочий процесс блокировки с 3 отказами. Блокировка длится 15 минут.
Мой вопрос: с точки зрения безопасности допустимо ли блокировать только «мастер-пароль»? Должен ли я разрешить пользователю обойти политику блокировки, если он использует функцию одноразового пароля? Открываю ли я какие-либо дыры в безопасности?