Ce que j'ai montré n'a rien de payant, c'est intégré nativement à SMF, et en beta depuis 2014.

Concernant une éventuelle extension payante, en soit c'est simplement le modèle capitaliste dans lequel nous sommes, et cela s'applique pour tous types de CMS existant.

J'ai eu l'occasion de gérer plusieurs forums, sur plusieurs plate-forme, allant de vBulletin à IPB en passant par phpBB ou autre pun/fluxbb, et force de reconnaître que de nos jours, l'authentification multifacteur est un fondement de la sécurité de l'identité, à mon sens il faut différencier la criticité du besoin, et la demande du public, le public n'a pas forcément conscience des risques encourus alors que nous, administrateurs, avons une vue d'ensemble ainsi qu'une responsabilité envers les données et la sécurité de nos utilisateurs.

En revanche il ne faut pas aller non plus à l'extrême. Le ratio temps/coût de développement et d'intégration d'une solution passwordless pour un forum est overkill, d'autant plus que cela requiert des pré-requis que toutes plateformes clientes ne peuvent pas forcément supporter.

Cela peut être un chantier réalisé sur le long terme, mais pour l'instant le landscape actuel consiste en l'arrêt de transmission des mots de passe en clair par email, et l'ajout d'un facteur pour éviter l'overtake d'un compte, tout cela le plus simplement possible par l'équipe, et si possible, sans augmenter la surface d'attaque en utilisant d'obscures plugins probablement non audités.

Cela peut être un chantier réalisé sur le long terme, mais pour l'instant le landscape actuel consiste en l'arrêt de transmission des mots de passe en clair par email, et l'ajout d'un facteur pour éviter l'overtake d'un compte, tout cela le plus simplement possible par l'équipe, et si possible, sans augmenter la surface d'attaque en utilisant d'obscures plugins probablement non audités.

Après en effet comme il a été dit dans ce fil de discussion, il faut pondérer les efforts en fonction de la criticité de la chose. Le TFA est un "nice to have", mais si mon compte se fait pirater (probablement via la ré-utilisation des quelques mots de passe "basse sécurité" que j'utilise pour tout ce qui n'est pas critique), il suffira de contacter Vivien pour qu'il fasse le ménage - même si en effet, il a peut-être d'autres choses à faire ! Entre-temps l'usurpateur aura peut-être posté quelques messages disant que le réseau de Free est infiniment supérieur à tous les autres, que le FFTLA ne doit pas être appelé fibre ou que les éoliennes c'est le mal, mais je ne pense pas que ce sera un grand drame.

Au final il me semble que sur ce forum, le plus grand risque est une tentative d'attaque/takeover de comptes par des anciens membres "revanchards" (on a eu quelques cas...);

Ce forum reste un "hobby" pour Vivien et il faut aussi qu'il trouve du plaisir ou de l'intérêt aux moyens de sécurité qui seront mis en place. Tant que les mots de passe ne sont pas stockés en clair...

Très bonne remarque en effet

Je regarderai après la migration ce qu'il est possible de faire.

Aujourd'hui plus aucun site ne renvoie le mot de passe si tu l'as perdu, car cela signifie qu'il serait en clair sur le serveur.

Une personne qui arriverait à corrompre le serveur pourrait récupérer tous les mots de passe !

La procédure est toujours une réinitialisation.

Sur SMF (le moteur utilisé par lafibre.info) en cas de changement de pseudo, la réinitialisation est obligatoire, parce que le pseudo doit rentrer d'algorithme pour saler^* le mot de passe.

^* Le salage des mots de passe, aussi appelé password salt en anglais, consiste à ajouter une portion de données aléatoires au mot de passe avant de le soumettre à l'algorithme de hachage de façon sécurisée.

Il y a 2 ou 3 ans (je ne sais pas si c'est encore le cas), j'avais réinitialisé un mot de passe nordnet et plus tard j'avais reçu un courrier de bienvenue imprimé avec ce même mot de passe... J'ignore si c'est toujours le cas mais à l'époque je n'avais pas spécialement signalé mais j'avais pas trouvé la pratique tip top.

En ce qui me concerne, je trouve le 2FA extrêmement pénible, et je préfère l'éviter, sauf si nécessité. Et à mon avis, il n'a aucune nécessité, il n'y a pas eu à ma connaissance de problème particulier avec le 1FA. Et on n'enregistre pas de carte bancaire sur lafibre.info...

Dernièrement, j'ai eu un souci sur un site où mon adresse mail était enregistrée, je n'ai jamais reçu le code pour le 2FA. Il a fallu que je passe par le support pour enregistrer mon numéro de portable. Mais je trouve que c'est donner aussi beaucoup d'informations à certains sites, et se faire ensuite spammer.

Je me suis fait aussi volé mon téléphone portable il y a 6 mois, et cela a été plutôt galère, à cause de cela justement. Mais c'était quand même avant que Free mobile n'impose le 2FA pour se connecter à son site, uniquement avec le numéro de portable. Comment on fait quand on a perdu ou s'est fait voler son portable, et que l'on doit commander une nouvelle SIM ?

Après des semaines de nombreuses protestations d'abonnés, ils ont finalement accepté d'utiliser l'adresse mail de contact, quand la première méthode échoue.

Mais de grâce, restons simple quand il n'y a aucune obligation de faire compliqué.

Je me suis fais la réflexion il y a pas longtemps. Le mieux étant donc d'avoir des backup, avec des yubikey par exemple.

Je me suis fais la réflexion il y a pas longtemps. Le mieux étant donc d'avoir des backup, avec des yubikey par exemple.

Demander que les abonnés à un forum public aient une yubikey pour se connecter, au moins en secours, bof. Je sais que l'on ait sur un forum de technophiles, mais quand même, tout le mon ne l'est pas. KISS.

P.S : attention à trop de sécurité, car cela pourrait décourager les gens de venir sur le forum.