perso je n'utilise pas de clé usb passkey a cause du manque de réplication (yubikey avec lecture d'empreinte pas exemple). Le systeme de passkey fourni pas Google/Android fonctionne pas trop mal. reste a voir l'adoption des passkeys par les autres sites.

apres rien n'empeche de faire un mixe: Android ou iOS pour certains sites, Windows/Mac pour d'autres, clés physiques pour d'autres, etc. du moment qu'on a une méthode de récupération en cas de perte/vol/panne.

La techno est récente et va encore surement évolué suivant l'adoption.

Le probleme est de la démocratiser et l'expliquer simplement sans exiger de l'utilisateur qu'il lise un roman d'explications  ou qu'il soit au fait du fonctionnement des technos...

La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.
Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

Pour TOUT compte disposant de privilège(s), il est nécessaire d'avoir ce genre de protection à minima, au delà de ça, si on entre dans ce genre de considération, toute la "chaîne" doit être protégée, mais pour un forum c'est un peu overkill. On tend à étendre ces protections aux consumers pour éviter la même chose, même si la criticité est moindre.

Il faut savoir également, que même avec du MFA, l'utilisateur peut quand même se faire pwn, notamment via du token replay, l'exploitation d'un méthode de récupération legacy, etc., mais la probabilité diminue quand même fortement et sa mise en place élimine un certain nombre de scénarios, on pourrait même aller plus loin avec la mise en place d'accès conditionnel, mais... non. Restons simple et cohérent.

Le modèle de sécurité global évolue, tout comme les méthodes d'authentification, le paradigme de l'identité change, mais l'héritage legacy est présent, et c'est le cas ici.
Aussi il n'y a pas que la finance, tu as également la défense, la pharmaceutique, les industries, etc. ces segments ont des réglementations à respecter, mais c'est un autre sujet.

Si on suit cette logique d'entropie pure, on pourrait aussi dire que l'entropie d'un PIN, utilisé dans les méthodes d'authentification passwordless, à 4 caractère soit considéré comme insécurisé.

Entre un PIN de 4 caractères numérique, représentant 10^4 possibilités, soit 10 000 combinaisons, et un PIN de 6 caractères numérique, de 10^6, soit 1 000 000 de possibilités, ce dernier conditionne, à la fois une différenciation d’entropie non négligeable, tout en permettant aux utilisateurs de disposer d’un PIN "mémorisable", mais plus complexe à retenir « on-the-fly ».

Un pin à 8 chiffre serait plus sécurisé, mais peut être considéré comme lourd pour le end-user, encore une fois, c'est une question de best practice et de politique de sécurité, 4 étant un minimum à utiliser, même si la tendance globale commence à être de 6.

Mais heureusement, les PINs dits "simple" sont généralement refusé à travers un algorithme spécifique, et les puces types TPM offrent des protections anti-hammering, en pratique, un nombre de tentative continu est autorisé, puis s'applique un throttling à X tentative(s) per X hour(s).

Enfin, il y a les autres facteurs qui sont présents, tout ce qu'un simple password ne peut donc pas sécuriser à lui seul.

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.

La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.

Certes, mais de mon point de vue de façon un peu trop "moutonière", c'est pour ça que je bouscule un peu le consensus

Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

J'entend tes arguments, mes je pense que tu ne vois pas tous les aspects :
D'abord si l'utilisateur est "keylogged, MITM, hacked via un exploit" c'est qu'il est visé par un attaquant sophistiqué et motivé, on peut exclure ce cas pour les usagers d'un forum ?
Ensuite s'il est "hameçonner" son navigateur ne va pas lui pré-remplir le mot de passe et il sera arrêté là (on est d'accord qu'aucun utilisateur lambda ne va taper de mémoire un mot de passe "complexe généré aléatoirement" ?)
Et concernant le "leaked car réutilisé ailleurs", d'abord n'ayant pas mémorisé le mot de passe il ne pourra pas le réutiliser facilement, il sera plus incité à en regénérer un autre dans son gestionnaire de mot de passe plutôt qu'aller rechercher/copier/coller un mot de passe existant (comptons sur sa flemme ça marche toujours), ensuite le leak étant sur des hash salés il est supposé inutilisable.

Bref l'idée de forcer l'utilisateur à utiliser des mots de passe à forte entropie est que cela l'incite très fortement à utiliser un gestionnaire de mot de passe et son générateur de mot de passe aléatoire. Bien sûr il peut y avoir des utilisateurs malveillants qui vont se donner du mal pour contourner les règles, mais les moyens à mettre en oeuvre pour les contrer dépassent largement les moyens d'un forum ou tout autre site non critique.

Mon point est qu'un TOTP n'apporte pas vraiment plus qu'un mot de passe complexe bien géré, le secret partagé n'étant pas fondamentalement différent, alors autant complexifier le mot de passe primaire. En plus ce secret partagé ne pouvant être haché sur le serveur, une fuite silencieuse permet de contourner le TOTP pour tous les utilisateurs, heureusement il ne peut pas être réutilisé entre sites.

Pour aller plus loin il n'y a que la crypto asymétrique, comme dans le Passkey, qui apporte un vrai changement de paradigme

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.

Oui tout à fait, on est d'accord !

Why not?
Discord le fait parfaitement.

l'énorme problème du 2FA, c'est qu'à 99% il dépend d'un appareil mobile. et que tout le monde n'en a/veut pas.
yavait le 1% qui pouvait se faire par email, comme chez frandroid (je crois), mais c'est très marginal.
personnellement, hors une banque, hors de question que je relie quelque service à l'appareil le plus volatile du quotidien, juste derrière les clés : cela n'arrivera pas (et fut une des raisons du divorce à couteaux tirés de certains gafam, google en tete de gondole)

Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.

Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.

l'intéret de faire un DDOS sur lafibre?

- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.

c'est marginal ici..

- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.

le monde est fait pour etre imparfait

l'intéret de faire un DDOS sur lafibre?

Vu le nombre d'attaques DDOS, qui a obligé Vivien à prendre différentes mesures de protection, certains semblent y voir un intérêt. D'anciens membres mécontents d'avoir été exclus pour leurs dérives, par exemple ?

Vu le nombre d'attaques DDOS, qui a obligé Vivien à prendre différentes mesures de protection, certains semblent y voir un intérêt. D'anciens membres mécontents d'avoir été exclus pour leurs dérives, par exemple ?

un vrai ddos c'est pas gratos, faut une armée de serveurs, ca coute un bras, l'hébergeur peut te jarter, il peut y avoir des conséquences en plus du cout.
on me fera pas croire qu'un "vrai" ddos coute moins de 1000 dollars..