如果以前的意思是說OTP早於已經通過身份驗證的用戶使用的OTP，那麼可以，這被認為是不好的做法。 OTP只能使用一次，因此得名。 2FA的全部要點是它代表安全三位一體中的“您擁有的東西”。允許兩次使用令牌會破壞OTP旨在防止的目的。將其轉換為“您知道的東西”，使其僅是第二個密碼。

此問題通常不會以暴力破解的形式出現。例如，在時間窗相對較短的TOTP中，並沒有真正使用蠻力來規避。作為允許攻擊者重複使用OTP的站點的用例，無論是當前的還是過去的都是攔截。密碼。

對於HOTP，問題甚至更嚴重，因為從理論上講計數器或移動因子不會經常增加。意味著用戶認證的最後一個或什至先前的OTP可能很長一段時間都有效。在某些情況下，取決於服務器的實施情況。

如果以前是指當前正在生成但尚未使用的OTP，則在限制範圍內。 OTP的標準實現通常使用“窗口”來克服同步問題。在TOTP的情況下，使用了5秒的窗口（向前和向後），但是在我所看到的任何實現中，這始終不允許用戶在最後一個進行身份驗證的OTP上或之前進行。如果我們以15s窗口的15s移動步驟為例，那麼在45s的時間範圍內將可以使用三個OTP進行身份驗證，一個是過去的，現在是一個，將來的一個（假設間隔是相同的）作為移動步驟）。在@cornelinux的答案中可以很好地解釋其背後的原因。

對於HOTP而言，該窗口是“向前看”窗口。如果用戶進行身份驗證的最後一個OTP在接受的上一個OTP的下10個OTP之內，則允許該操作，然後實現會根據該下一個OTP計算下一個10，以對照輸入的下一個OTP。在成功使用窗口之前，不考慮窗口中未使用的任何OTP都是很有意義的。

注意：

在HOTP 10中，任意的。通常，該因子約為成功進行身份驗證所需的OTP數量的2.5倍。因此，如果用戶需要3個HOTP進行身份驗證，則該窗口將比當前窗口高8個OTP。

在TOTP中5秒也是可變的。在某些情況下，我看到的窗口大到移動步驟的100％。因此，以30秒的步長和30秒的窗口有效地使代碼對於1:30有效。再次，在當前迭代之前和之後進行擴展。

您可能還想看看RFC6238（TOTP）。 https://tools.ietf.org/html/rfc6238#page-6

有一個驗證OTP值的時間窗口。 （正如@Nalaurien指出的，只有一次）。允許使用更高甚至更高的TOTP值也有實際原因：硬件令牌的時鐘偏移以及用戶需要讀取和輸入OTP值的時間。

時鐘偏移和硬件

請注意，TOTP是在2011年指定的。HOTP是TOTP的基礎，甚至是在2005年指定的。iphone1是在2007年發布的。TOTP從未考慮過要在智能手機上運行，而是要在價格便宜的硬件智能鑰匙扣上運行，而且質量較差

您可能還會注意到，HOTP（RFC4226）和TOTP（RFC623）是由認證硬件公司的工作人員而不是Google或Apple編寫的。 ;-）