Ça ne veut pas dire que ce n'est pas suffisant suivant son modèle de menaces ("de quoi je veux me protéger") mais dans l'absolu ça me paraît "moins sûr".
C'est le problème du titre du journal : sortir "pas assez utilisées" sans en réalité en parler dans le contenu du titre, sans argumenter sur l'idée que plus facile d'usage comme un logiciel sur smartphone, aujourd'hui pas mal utilisé y compris par les banques donc du "intéressant" pour pas mal de monde, ne serait pas plus cohérent en terme d'emmerdement vs sécurité pour les utilisateurs.
La pire des sécurités est une sécurité chiante inutile par rapport au besoin de sécurité, parce que les gens trouveront ça con et chercheront à éviter le côté chiant.
Et pour 99% des gens, la double authentification, déjà assez chiante car il faut quand même gérer (et on laisse souvent cette partie de côté, alors que c'est primordial car fait partie de la gestion globale de la sécurité) mettre en lieu sûr des codes de récupération, sur smartphone est largement suffisante.
C'est d'ailleurs dommage qu'on oublie le de plus en plus utilisé dans le monde Internet, en balançant un vieux TOTP datant du offline à l'heure du online et laissant soin à chaque site web de filer une app dédiée (qui fait souvent plus, du coup problème de sécurité) pour du plus agréable (oui c'est chiant de taper un code, mettre son empreinte "oui c'est moi" est largement plus agréable et à ma connaissance il n'y a pas d’équivalent à FIDO2/etc pour un logiciel, pour avoir une app unique pour tous les sites web qui permette de gérer à la TOTP mais sans s'emmerder avec l'interaction manuelle). Perso pour le moment je me tape le truc chiant TOTP pour GitHub et compagnie, car par exemple j'ai bien GitHub Mobile disponible pour être moins chiant mais encore une app en plus.
Bref, déjà il faudrait conseiller les clés matérielles à qui en a besoin et seulement ces personnes, et se mettre d'accord pour un protocole commun pour qui a besoin de double authentification plus agréable au prix de moins de sécurité mais qui suffit.
[^] # Re: mon téléphone à la place ?
Posté par Zenitram (site web personnel) . En réponse au journal Clés de sécurité, pas assez utilisées. Évalué à 5.
C'est le problème du titre du journal : sortir "pas assez utilisées" sans en réalité en parler dans le contenu du titre, sans argumenter sur l'idée que plus facile d'usage comme un logiciel sur smartphone, aujourd'hui pas mal utilisé y compris par les banques donc du "intéressant" pour pas mal de monde, ne serait pas plus cohérent en terme d'emmerdement vs sécurité pour les utilisateurs.
La pire des sécurités est une sécurité chiante inutile par rapport au besoin de sécurité, parce que les gens trouveront ça con et chercheront à éviter le côté chiant.
Et pour 99% des gens, la double authentification, déjà assez chiante car il faut quand même gérer (et on laisse souvent cette partie de côté, alors que c'est primordial car fait partie de la gestion globale de la sécurité) mettre en lieu sûr des codes de récupération, sur smartphone est largement suffisante.
C'est d'ailleurs dommage qu'on oublie le de plus en plus utilisé dans le monde Internet, en balançant un vieux TOTP datant du offline à l'heure du online et laissant soin à chaque site web de filer une app dédiée (qui fait souvent plus, du coup problème de sécurité) pour du plus agréable (oui c'est chiant de taper un code, mettre son empreinte "oui c'est moi" est largement plus agréable et à ma connaissance il n'y a pas d’équivalent à FIDO2/etc pour un logiciel, pour avoir une app unique pour tous les sites web qui permette de gérer à la TOTP mais sans s'emmerder avec l'interaction manuelle). Perso pour le moment je me tape le truc chiant TOTP pour GitHub et compagnie, car par exemple j'ai bien GitHub Mobile disponible pour être moins chiant mais encore une app en plus.
Bref, déjà il faudrait conseiller les clés matérielles à qui en a besoin et seulement ces personnes, et se mettre d'accord pour un protocole commun pour qui a besoin de double authentification plus agréable au prix de moins de sécurité mais qui suffit.