• [^] # Re: bonne initiative

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+3/-2).

    D'ailleurs si l'on en revient aux fondamentaux, et même en considérant la philosophie biaisée de la DSP2 à propos de la 2FA pour les paiements en ligne, alors il y a une solution simple:
    - La CB est l'objet
    - L'usager associe une passphrase à sa CB auprès de sa banque.
    - la banque valide valide la passphrase lors de la MFA => deux facteurs. Objet et mémoire de l'usager.

    Comme expliqué déjà, les gens résument les OTP DSP2 à une 2FA standard. Ce n’est pas le cas et c’est une SCA (strong customer authentication).

    Le besoin primaire de cet OTP n’est pas tant de s’assurer de l’identité du payeur mais de garantir à la banque que le payeur était bien conscient de l’action, du montant et du destinataire pour rendre incontestable et donc irrévocable la validation.

    Une fois que tu as validé un OTP, tu ne peux plus contester que toi personnellement tu as bien approuvé quelque chose (cas de la 2FA classique), mais aussi et surtout le montant et le destinataire.

    La SCA DSP2 est une 2FA au sens conventionnel du terme (double facteur), mais toute 2FA n’est pas une SCA.