Suponha que você forneça ao usuário a primeira senha usando alguma mídia insegura, como e-mail ou papernote. Se alguém (digamos Eve) ver essa nota, ela poderá fazer o login com a mesma senha.
A criação da senha a one-time-password elimina a possibilidade de um segundo login. E se a pessoa errada fizer o primeiro login, você provavelmente descobrirá logo de qualquer maneira.