パスワードとOATH-TOTP、OATH-HOTP、Yubico-OTPなどを組み合わせて認証を行う認証方式となります。
古くからある認証方式で、YubiKey以外にもMicrosoft AuthenticatorやGoogle Authenticatorなどのスマホ用アプリでも使用可能です。
ワンタイムパスワードを入力して送信する為、フィッシングサイトに盗まれて不正アクセスに繋がる危険性が指摘されており、米政府との取引がある企業では使用を禁止された方式です。
YubiKeyでOATH-TOTPを利用するためには、ワンタイムパスワードを登録、表示する為のYubico Authenticatorというソフトウェアを端末に導入してYubiKeyを認識させます。
端末にYubiKeyを認識させるために、PCであればUSBに挿す、NFC通信ができるスマホにかざす、などの方法があります。