Si le rate limit d'une authentification 2-facteurs est mal implémenté, un hacker peut utiliser le header HTTP X-Forwarded-For pour se faire passer pour un client différent à chaque appel et ainsi bruteforcer le code.

Ce type de rate limit ne doit jamais être basé sur une donnée que le client peut manipuler.