Juste pour préciser que Tavis Ormandy critique le SMS en second facteur (c'est vrai, on peut amener l'utilisateur à taper son OTP sur un site compromis après tout), mais pas le 2FA en général. Je le cite "You can either educate your users on how to use a password manager, or deploy U2F, FIDO2, WebAuthn, etc. This can be done with hardware tokens or a smartphone."
ça me paraît important à souligner car perso je ne crois pas du tout à "éduquer ses utilisateurs". ça fait 30 ans qu'on dit qu'il faut éduquer ses utilisateurs et ça n'a jamais marché, c'est un vieux mythe pour se donner bonne conscience entre informaticien et rejeter le problème sur les utilisateurs.. Il y a des barrières sur les ponts, on "n'éduque" pas les utilisateurs à ne pas sauter, on met une barrière.
Bref, le 2FA, oui, il le faut aujourd'hui, certes pas par sms.
# Critique du SMS en second facteur, pas du 2FA en tant que tel
Posté par towanda . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à 10.
Juste pour préciser que Tavis Ormandy critique le SMS en second facteur (c'est vrai, on peut amener l'utilisateur à taper son OTP sur un site compromis après tout), mais pas le 2FA en général. Je le cite "You can either educate your users on how to use a password manager, or deploy U2F, FIDO2, WebAuthn, etc. This can be done with hardware tokens or a smartphone."
ça me paraît important à souligner car perso je ne crois pas du tout à "éduquer ses utilisateurs". ça fait 30 ans qu'on dit qu'il faut éduquer ses utilisateurs et ça n'a jamais marché, c'est un vieux mythe pour se donner bonne conscience entre informaticien et rejeter le problème sur les utilisateurs.. Il y a des barrières sur les ponts, on "n'éduque" pas les utilisateurs à ne pas sauter, on met une barrière.
Bref, le 2FA, oui, il le faut aujourd'hui, certes pas par sms.