چند بار من پیاده سازی SMS 2FA را هنگامی که یک وب سایت نشان می دهد "sms id session" (به عبارتی، 8 رقمی نشانگر) را بلافاصله پس از ارسال اس ام اس به کاربر همراه با OTP فوری نشان می دهد. اس ام اس همراه با OTP (به عنوان مثال، 4 رقم) و شناسه اس ام اس (8 رقمی).
پس از آن کاربر باید شناسه session id اس ام اس در اس ام اس را در UI وب سایت و تنها پس از آن OTP را وارد کنید. اگر اسم شناسه جلسه مطابقت نداشته باشد، کاربر باید متوقف شود و از ورود OTP جلوگیری کند.
تعجب این نوع گردش کاری است که به دلایل امنیتی ساخته شده است؟ و تأیید اسناد session id از برخی از حملات محافظت می کند
یک مثال از چنین گردش کار: webmoney.ru
