@szam je reformule: ce genre d'authentification 2 facteurs n'est pas efficace.

@lleofar @szam 1) c’est sensiblement meilleur qu’une authentification par seul mdp
2) c’est sujet à plein de menaces, mais c’est le 2FA qui s’adresse au plus de personnes
3) c’est utile comme canal de récupération plus que comme un moyen d’authentication

@gordon @szam
Oui

@lleofar @szam « Oui » ?

@gordon @szam Ben oui, je suis d'accord. C'est mieux qu'une protection par Mot de passe simple, mais c'est illusoire de croire que ça protège d'une attaque MIM.

@lleofar @szam « MIM » pour « MitM » (Man (sic) in the Middle) ? Si, ça protège. Si le canal SMS est compromis, ça ne permet pas de connaître le mot de passe. Si c’est le canal HTTPS qui l’est, ça ne permet pas de rejouer l’authentification. Il faut compromettre les deux à la fois pour que ça soit exploitable. Donc la protection est bien réelle

@gordon @szam Oui c'est vrai, pas une attaque MitM seule, mais si tu associe ça à du DNS cache poisoning et quelques autres trucs.

@lleofar @szam tu arrives à compromettre des SMS par DNS cache poisoning, toi ?

@gordon @szam On s'en fiche complètement des SMS. et du fait qu'ils soient sur un autre canal.

@szam @gordon L'utilisateur devra entrer un code fourni par SMS, pigeon voyageur ou autre.