Bon, désolé d’insister, mais:

Tu as un mdp ‘classique’ de longueur n.
Tu rajoutes une couche de sécurité grâce à l’authent forte et des one time passwords.
Mais tu peux bypasser la ligne précédente grâce à un mdp supplémentaire (dans le meilleur des cas) de longueur n.
Accéder à ton appli revient donc pour un intrus à trouver un mdp de longueur m+n.
Ce n’est plus de l’authent forte, c’est de l’authent classique avec un mdp +long.