La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.
Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.
Pour TOUT compte disposant de privilège(s), il est nécessaire d'avoir ce genre de protection à minima, au delà de ça, si on entre dans ce genre de considération, toute la "chaîne" doit être protégée, mais pour un forum c'est un peu overkill. On tend à étendre ces protections aux consumers pour éviter la même chose, même si la criticité est moindre.
Il faut savoir également, que même avec du MFA, l'utilisateur peut quand même se faire pwn, notamment via du token replay, l'exploitation d'un méthode de récupération legacy, etc., mais la probabilité diminue quand même fortement et sa mise en place élimine un certain nombre de scénarios, on pourrait même aller plus loin avec la mise en place d'accès conditionnel, mais... non. Restons simple et cohérent.
Le modèle de sécurité global évolue, tout comme les méthodes d'authentification, le paradigme de l'identité change, mais l'héritage legacy est présent, et c'est le cas ici.
Aussi il n'y a pas que la finance, tu as également la défense, la pharmaceutique, les industries, etc. ces segments ont des réglementations à respecter, mais c'est un autre sujet.
Si on suit cette logique d'entropie pure, on pourrait aussi dire que l'entropie d'un PIN, utilisé dans les méthodes d'authentification passwordless, à 4 caractère soit considéré comme insécurisé.
Entre un PIN de 4 caractères numérique, représentant 10^4 possibilités, soit 10 000 combinaisons, et un PIN de 6 caractères numérique, de 10^6, soit 1 000 000 de possibilités, ce dernier conditionne, à la fois une différenciation d’entropie non négligeable, tout en permettant aux utilisateurs de disposer d’un PIN "mémorisable", mais plus complexe à retenir « on-the-fly ».
Un pin à 8 chiffre serait plus sécurisé, mais peut être considéré comme lourd pour le end-user, encore une fois, c'est une question de best practice et de politique de sécurité, 4 étant un minimum à utiliser, même si la tendance globale commence à être de 6.
Mais heureusement, les PINs dits "simple" sont généralement refusé à travers un algorithme spécifique, et les puces types TPM offrent des protections anti-hammering, en pratique, un nombre de tentative continu est autorisé, puis s'applique un throttling à X tentative(s) per X hour(s).
Enfin, il y a les autres facteurs qui sont présents, tout ce qu'un simple password ne peut donc pas sécuriser à lui seul.
My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.