• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+3/-1).

    Avec deux facteurs : mot de passe et TOTP. Sans contexte, il n'y a pas de notion de contexte pour une simple connexion à l'espace de gestion de compte.

    Si justement : le contexte c’est montant et destinataire ET ACTION.
    L’action c’est authentification, ajout bénéficiaire, paiement en ligne, virement...
    Il y a donc bien un contexte, même pour l’authentification.

    dans la mesure où la connexion en question a pour seul but de valider une transaction en fournissant justement un TOTP

    Justement, c’est pas le seul but. Le but de la SCA (Strong Customer Authentication, et non simplement 2FA) DSP2, c’est de garantir l’irrévocabilité du paiement/login/whatever en assurant à la banque que la personne qui valide est bien complètement consciente de ce qu’elle fait, et que ça en sera opposable en justice.
    À partir du moment où tu utilises ton OTP, ça a des effets juridiques tout à fait autre que de simplement avoir valider ton paiement. Ça certifie que tu es conscient et du montant et du destinataire et de l’action et que ça en sera irrévocable et incontestable devant la banque et les tribunaux. Tu ne peux juridiquement plus dire « je ne savais pas/je me suis fait avoir/on m’a trompé ».