• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+4/-2). Dernière modification le 29 avril 2026 à 14:37.

    Non puisque les données doivent être à côté du code.
    L’idée est que celui qui va obtenir le code est nécessairement au courant de la finalité visée par la saisie.

    Dans ton cas, la personne qui a lu le code peut possiblement le transmettre à un tiers pour la saisie sur la page web : elle n’a donc pas conscience du paiement en jeu.

    C’est bien le code lui-même qui doit être intimement lié, et pas sa saisie.
    La banque garantie ainsi que celui qui a pris connaissance du code avait aussi nécessairement connaissance de la véritable opération.

    Ça évite aussi le MITM/phishing, avec une page web qui ment sur la finalité et t’affiche 10€ quand tu es en réalité en train d’en valider un paiement de 1000€.
    Pour ça que tu dois avoir les 1000€ d’affichés sur un support totalement séparé de la fenêtre de paiement.