Hay varias opciones para configurar la autenticación en dos fases (2FA) y el tiempo de expiración de los códigos es específico del método de autenticación que escojas.
Opción 1:
Si configuras la autenticación en dos fases (2FA) empleando una aplicación de autenticación tal como Microsoft Authenticator, Google Authenticator o Authy, el tiempo de expiración del código es parte de la configuración y propiedades de aplicación que estás empleando.
Normalmente los códigos se refrescan cada 30 segundos.
Opción 2:
Si configuras la autenticación en dos fases (2FA) empleando mensajes de texto (SMS) o recibiendo una llamada automatizada, el tiempo de expiración del código es de 5 minutos.