Oui c'est évident sinon c'est comme avoir 1 facteur...
:plusser:
Je parlais de sécurité technique et toi tu parles de sécurité des processus/ organisationnel ! Mais tu as raison de rappeler que l’un ne va pas sans l’autre. D’ailleurs même des certificats sur support crypto ne servent à rien si n’importe qui peut en demander un renouvellement/révocation sans que son identité ne soit vérifiée !
Sinon, l’adresse de récupération de mot de passe ne doit pas être l’adresse usuelle de l'utilisateur (ça évite les mots de passe déjà enregistré comme sur Smartphone). Il faut que les gens changent leurs habitudes (un peu comme ne pas utiliser de compte administrateur en permanence)...
Inutile pour les utilisateurs ?? Non… Si tu combines empreintes digitales (équivalent à un gros mot de passe) + code pin sur clavier virtuel (comme dans les banques), tu as un code complexe, difficile à voler coté utilisateur (ça protège pas des injections SQL) et simple à retenir pour ce dernier ==> c'est donc plutôt un bon compromis.
Après l'authentification biométrique pour des applications internet, ça a peu d'utilité, c'est même contre productif comme le dit forthx
je valide... :aie: