披露：我在一家构建基于 OTP 的 2FA 服务器的公司工作。

是的，假设它不是基于时间的 OTP，它们可以并且确实会变得不同步。假设我们谈论的是硬件令牌，这些东西变得不同步的最大原因（信不信由你）通常是因为某人的幼儿喜欢反复按下按钮。其次是胖手指用户名和/或别针。

如果您使用的设备没有自己的电源（例如 USB 供电），它不会经常不同步，除非您喜欢在插入时按下按钮。为了解决这个问题，通常服务器将在成功身份验证后生成 15-20 次密码的未来迭代，并且未来的身份验证将根据这些值进行验证，然后在下一次成功的身份验证后它将生成另一个 15-20。

如果事情完全不同步，您可能会输入由令牌生成的接下来的 2-4 个 OTP，系统将从它认为是当前密钥的内容进行扫描，直到找到匹配的密码，最多说 100 次迭代。这将允许您重新同步关键状态。

有两种常见的一次性密码。一种具有实际上在短时间内（几分钟）有效的密码。只要服务器上的时钟和密码计算器上的时钟不会产生太多，这种类型就会保持同步。

对于另一种真正的一次性密码，处理同步的典型方法是服务器指示它想要的密码：而不是询问password:，它要求password #42:，并告诉用户输入他列表中的第 42 个密码。一些 OTP 软件让服务器打印出它接受的最后一个密码，用户必须输入下一个密码。

另一种变体让服务器发送一个挑战，用户必须在他的密码计算器中输入该挑战。这不适用于纸质清单。