Merci pour le plus, et surtout pour ce retour : un utilisateur qui n'évalue pas la crypto mais qui raconte son vécu, c'est exactement le public qui compte. Une sécurité qui ne tient pas pour l'utilisateur lambda ne tient pas du tout.
Votre histoire illustre parfaitement le problème. Le TOTP est lié à un appareil : on change de téléphone sans avoir anticipé le transfert, et on se retrouve coincé, à éplucher trois docs, pour finir par un ticket qui désactive carrément le 2FA. Autrement dit, la sécurité a sauté parce que la récupération était trop dure. C'est l'échec d'ergonomie typique, et il est très courant.
SelfRecover essaie justement de retirer ces points de friction pour l'utilisateur ordinaire :
Il n'y a rien à transférer ni à migrer. Le secret est un mot que vous retenez, pas une application liée à un téléphone. Votre mésaventure (le changement d'appareil) ne peut pas se reproduire, puisqu'il n'y a pas d'appareil dans la boucle).
La technique est invisible. On tape un mot, point. Tout le reste (le calcul, la liaison au site) se fait tout seul dans le navigateur : rien à comprendre ni à configurer.
Et si on se trompe, on n'est pas laissé seul devant une doc : le système oriente vers le niveau de récupération suivant, jusqu'à une vérification avec un humain en dernier recours. L'idée est qu'on ne tombe jamais dans une impasse silencieuse.
Cela dit, soyons honnêtes : faire adopter un outil de sécurité au grand public reste le vrai défi, et aucun protocole ne le règle d'un coup de baguette. SelfRecover ne supprime pas ce travail, il enlève des obstacles connus (pas d'appareil, pas d'e-mail, pas de doc à déchiffrer). Le reste se joue dans le soin apporté à l'interface et à l'accompagnement, et ça, c'est un chantier permanent.
[^] # Re: Et les utilisateurs ?
Posté par pierroons (site web personnel) . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à -1 (+2/-3).
Merci pour le plus, et surtout pour ce retour : un utilisateur qui n'évalue pas la crypto mais qui raconte son vécu, c'est exactement le public qui compte. Une sécurité qui ne tient pas pour l'utilisateur lambda ne tient pas du tout.
Votre histoire illustre parfaitement le problème. Le TOTP est lié à un appareil : on change de téléphone sans avoir anticipé le transfert, et on se retrouve coincé, à éplucher trois docs, pour finir par un ticket qui désactive carrément le 2FA. Autrement dit, la sécurité a sauté parce que la récupération était trop dure. C'est l'échec d'ergonomie typique, et il est très courant.
SelfRecover essaie justement de retirer ces points de friction pour l'utilisateur ordinaire :
Il n'y a rien à transférer ni à migrer. Le secret est un mot que vous retenez, pas une application liée à un téléphone. Votre mésaventure (le changement d'appareil) ne peut pas se reproduire, puisqu'il n'y a pas d'appareil dans la boucle).
La technique est invisible. On tape un mot, point. Tout le reste (le calcul, la liaison au site) se fait tout seul dans le navigateur : rien à comprendre ni à configurer.
Et si on se trompe, on n'est pas laissé seul devant une doc : le système oriente vers le niveau de récupération suivant, jusqu'à une vérification avec un humain en dernier recours. L'idée est qu'on ne tombe jamais dans une impasse silencieuse.
Cela dit, soyons honnêtes : faire adopter un outil de sécurité au grand public reste le vrai défi, et aucun protocole ne le règle d'un coup de baguette. SelfRecover ne supprime pas ce travail, il enlève des obstacles connus (pas d'appareil, pas d'e-mail, pas de doc à déchiffrer). Le reste se joue dans le soin apporté à l'interface et à l'accompagnement, et ça, c'est un chantier permanent.