Proton sort une app pour gérer votre 2FA/MFA en générant des codes temporaires comme le font Google Authenticator et consorts. Mais comme d'hab, l'app est open source et l'accent est mis sur la sécurité et le respect de l'utilisateur.
Si le rate limit d'une authentification 2-facteurs est mal implémenté, un hacker peut utiliser le header HTTP X-Forwarded-For pour se faire passer pour un client différent à chaque appel et ainsi bruteforcer le code.
Ce type de rate limit ne doit jamais être basé sur une donnée que le client peut manipuler.
Bonne pratiques pour l'authentification double facteur.