Qu'il y ait accès mais pas forcèment avec mon compte.

Ah d'accord, elle pourrait penser qu'à cette adresse chacun accède à son propre compte.

Si la personne malveillante accède au lien avant son expiration, il semblerait qu'elle puisse changer le mot de passe, et ainsi pouvoir se reconnecter indéfiniment en cas d'expiration.

Si elle fait cela, elle révèle le fait qu'elle a piraté le compte.

Elle a plutôt intérêt à récupérer le mot de passe actuel!

Je ne vois pas bien ce que "PKI" vient faire avec les OTP de RSA!

C'est juste un générateur pseudo aléatoire, il n'y pas de clé publique.

un générateur pseudo aléatoire avec des failles
https://en.wikipedia.org/wiki/NIST_SP_800-90A
PI

Par authentification forte, je parlais d'une carte à puce associée à une PKI. Si tu perds la carte, on ne peut rien en faire (en dehors du pouvoir fanstasmatique de la NSA).

En même temps quand on voit ce que certains arrivent à faire (ici et ici) avec une carte a puce, il y a de quoi être inquiet.