5.2. Device Code Brute Forcing (Attacco di forza bruta del codice dispositivo)

Un aggressore che indovina il codice dispositivo potrebbe potenzialmente ottenere il codice di autorizzazione una volta che l'utente completa il flusso. Poiché il codice dispositivo non viene visualizzato all'utente e quindi non ci sono considerazioni di usabilità sulla lunghezza, DOVREBBE essere utilizzato un codice ad entropia molto elevata.