J'ajouterais que pour le dernier niveau, si j'ai réussi à faire que lon voisin se connecte depuis mon navigateur, même si il se déconnecte, je peux tenter la récupération avec son identifiant et username. Comme j'ai fingerprint et IP connues, paf j'ai 60 et je peux récupérer son mot de passe.
Ou pareil si je mets la main sur son téléphone ou son ordinateur débloqué pendant quelques minutes (mais bon on pourrait dire qu'avec l'email c'est aussi le cas)
[^] # Re: Keycloak
Posté par Colin Pitrat (site web personnel) . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 4 (+2/-0).
J'ajouterais que pour le dernier niveau, si j'ai réussi à faire que lon voisin se connecte depuis mon navigateur, même si il se déconnecte, je peux tenter la récupération avec son identifiant et username. Comme j'ai fingerprint et IP connues, paf j'ai 60 et je peux récupérer son mot de passe.
Ou pareil si je mets la main sur son téléphone ou son ordinateur débloqué pendant quelques minutes (mais bon on pourrait dire qu'avec l'email c'est aussi le cas)