Si le rate limit d'une authentification 2-facteurs est mal implémenté, un hacker peut utiliser le header HTTP X-Forwarded-For pour se faire passer pour un client différent à chaque appel et ainsi bruteforcer le code.
Ce type de rate limit ne doit jamais être basé sur une donnée que le client peut manipuler.
Bonne pratiques pour l'authentification double facteur.