<div dir="ltr"><div>Hello,</div><div><br></div><div>the guys from projectlombok build an example application (see [0]) for ToTP based </div><div>multi-factor authentication which showed at the Javaland 2016 conference in Germany last week.</div><div><br></div><div>In this app they demoed an interesting security feature: </div><div><br></div><div>if a user enters a wrong ToTP code (or a far off one) they require the user to </div><div>enter 3 consecutive valid ToTP codes - although I can imagine that this is a bit annoying </div><div>for the user it nevertheless could add an additional level of security to the </div><div>ToTP authentication mechanism.</div><div><br></div><div>They show the following message if a user entered a wrong / far-off ToTP token:</div><div><br></div><div>&quot;Due to entering a wrong TOTP confirmation code, you now need to enter 3 consecutive codes</div><div>so that we can confirm you&#39;re not just guessing codes, and detect issues with your verification device&#39;s clock.&quot;</div><div><br></div><div>Perhaps keycloak could add such a feature as well.</div><div><br></div><div>Cheers,</div><div>Thomas</div><div><br></div><div>[0] - <a href="https://github.com/rzwitserloot/totp-example">https://github.com/rzwitserloot/totp-example</a></div></div>