Cryptographie

Bonjour, voila je recherche les bonnes pratiques sur la mise en place d’un OTP .
le cas est le suivant oubli de mot de passe donc je rentre des informations nom prénom et ville dans un formulaire et je choisis de recevoir soit un lien d’activation par mail soit un OTP.
j’essaie de trouver les bonnes pratiques pour limiter les risques liés a cette implémentation.
par exemple
OTP sur 6 à 8 chiffre avec alphanumérique
limiter le temps de validité du jeton 30 à 60 secondes
limiter le nombre de tentative de saisi de l’otp et bloquer 15 min la saisie
Si vous voyez d’autres aspect n’hésitez pas à partager
Maintenant une question me préoccupe faut il limiter la demande d’envoi otp ?
Merci pour votre aide