Les cartes de codes (cartes TAN) se photocopient et peuvent se transmettre comme les mots de passe.
Les TOTP peuvent être admis à la rigueur, car les utilisateurs ne savent pas forcément extraire le secret (bien que cela est possible);
Il ne reste donc que les boîtiers pour cartes à puce (les cartes bancaires) et les clés FIDO qui peuvent fonctionner avec n'importe quel OS, navigateurs, ordinateurs et smartphone.
C'est donc ces dispositifs qu'il faut imposer explicitement car les banquiers ne sont absolument pas au courant de ces solutions qui existent depuis plusieurs dizaines d'années.
# La pétition ne mentionne pas les bonnes alternatives
Posté par HG203 . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 5 (+5/-1).
L'utilisation des SMS est fortement déconseillé car :
Le protocole SS7 et complètement troué (voir les explication détaillés sur https://korben.info/first-wap-surveillance-protocole-ss7.html);
il faut quand avoir un smartphone et du réseau.
Les cartes de codes (cartes TAN) se photocopient et peuvent se transmettre comme les mots de passe.
Les TOTP peuvent être admis à la rigueur, car les utilisateurs ne savent pas forcément extraire le secret (bien que cela est possible);
Il ne reste donc que les boîtiers pour cartes à puce (les cartes bancaires) et les clés FIDO qui peuvent fonctionner avec n'importe quel OS, navigateurs, ordinateurs et smartphone.
C'est donc ces dispositifs qu'il faut imposer explicitement car les banquiers ne sont absolument pas au courant de ces solutions qui existent depuis plusieurs dizaines d'années.