Jack Dorsey a abandonné Twitter, et est devenu milliardaire. Il a contribué à la création et au développement du protocole décentralisé AT, qu'il a rendu indépendant de Twitter au moment de la vente, avec Bluesky.

Maintenant, il dit que Twitter est un "espace de liberté", et supprime son compte sur Bluesky, pour poster sur Twitter. Sans trop d'explications. On a l'impression qu'il ne sait plus très bien où il habite, et c'est du gâchis pour le développement de projets libres.

J'ai abordé le routage en lisant un livre sur les réseaux. Les interfaces y sont présentées de façon générale avec le routage dynamique dans un réseau maillé.
C'est peut-être pour cela que j'ai plus de mal à reconnaître des zones logiques comme le LAN ou le WAN. Cela n'imprime pas vraiment dans mon esprit.

J'ai tendance à mélanger les choses (sans faire exprès).

perso je n'utilise pas de clé usb passkey a cause du manque de réplication (yubikey avec lecture d'empreinte pas exemple). Le systeme de passkey fourni pas Google/Android fonctionne pas trop mal. reste a voir l'adoption des passkeys par les autres sites.

apres rien n'empeche de faire un mixe: Android ou iOS pour certains sites, Windows/Mac pour d'autres, clés physiques pour d'autres, etc. du moment qu'on a une méthode de récupération en cas de perte/vol/panne.

La techno est récente et va encore surement évolué suivant l'adoption.

Le probleme est de la démocratiser et l'expliquer simplement sans exiger de l'utilisateur qu'il lise un roman d'explications  ou qu'il soit au fait du fonctionnement des technos...

Le nouveau poteau est la depuis un moment.

Je pense que si rien ne bouge, la solution se sera de mettre un petit fourreau vert d'1m entre les deux poteaux. Ainsi au raccordement il pourra y avoir le passage sans souci.

Les passkeys sont à destinés à remplacer les mots de passes, c'est un "nouveau" paradigme concernant l'authentification.
Et il s'agit de ce que j'ai susmentionné en tant que méthode passwordless.

En soi, le passwordless est intrinsèquement une méthode d'authentification multi facteurs, étant donné qu'elle crée une paire de clés cryptographique unique utilisable uniquement pour un site/une app précise, lors de l'authentification, un challenge est généralement utilisé et plusieurs facteurs entrent directement en ligne de compte, à savoir quelque chose que l'utilisateur dispose, soit la clé sur le device, et quelque chose que l'utilisateur est ou sait, soit respectivement les données biométriques ou le code PIN.

Si vous perdez votre téléphone, vous disposez d'une recovery key pour le 2FA, comme précédemment abordé.
Concernant les Authenticators, votre compte GAFAM (': sert en général de méthode de récupération, à condition que vous ayez synchronisé vos credentials:


Microsoft Authenticator

Il est possible de récupérer vos credentials à travers des méthodes de sign-ins legacy, à savoir un combinaison entre le couple email/password, email alternatif, et/ou encore numéro de téléphone, cela dépend des providers et de leurs politiques en termes de sécurité.

Tout cela à déjà été précédemment abordé, dont le passwordless, la perte... Il faut lire.

Aussi, vous ne prenez pas en compte les impondérables, tels que la plateforme utilisée, la detention de device compatible coté utilisateurs (Il existe encore des personnes n'ayant pas TPM, ou même, n'ayant tout simplement pas de smartphone), l'investissement, le temps de développement, le besoin contextualisé, la qualification et les capacités demandés, la réalisation d'un audit de sécurité du module custom, les possibles contraintes hébergement/d'infrastructure, ou encore la volonté de l'équipe, etc.

Oui, il y a toujours mieux que du legacy password + MFA, mais on n'utilise pas un ASN4G pour tuer un moustique posé sur un verre d'eau, même si on pourrait.

Avoir du MFA pour l'équipe, le proposer pour nous les membres, dans un premier temps c'est déjà très bien, arriver à l'enforcer serait encore mieux - au détriment probable d'une catégorie d'utilisateurs n'ayant pas la possibilité d'utiliser du TOTP -, engager un chantier passwordless dans le furtur, pourquoi pas, mais ils faut être rationnel et prioriser ce qui peut l'être, le but n'étant pas d'être forcément à la pointe de la technologie, mais d’apporter un minimum de sécurité.