Идея двухфакторной аутентификации заключается в том, что люди часто используют один адрес электронной почты для всех своих учетных записей и дополнительно выбирают слабый пароль, который они используют для всех своих учетных записей.
Поэтому, если кто-то другой получит доступ к этому паролю в одной системе, у этого лица будет доступ ко всем другим учетным записям. Если пользователь выбрал пароль для своего электронного письма, который отличается от всех остальных, ситуация немного лучше. Но остается еще одна проблема. Если кто-то мог угадать этот пароль, пользователь не узнал бы это до тех пор, пока не будет поздно.
Но если мобильный телефон потерян или украден, то вероятность того, что пользователь запросит блокировку SIM-карты в течение короткого периода времени.
Таким образом, вы отправите код подтверждения действий учетной записи пользователя, которые являются необычными или могут привести к потере доступа к учетной записи.
Это зависит от вас, когда вы отправите код подтверждения. (Всегда при входе в систему, только при изменении данных учетной записи, например, пароля, электронной почты, нового номера мобильного телефона или для действий, которые создавали бы затраты для пользователя)