Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.

Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.

- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.

- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.

La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.

Certes, mais de mon point de vue de façon un peu trop "moutonière", c'est pour ça que je bouscule un peu le consensus

Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

J'entend tes arguments, mes je pense que tu ne vois pas tous les aspects :
D'abord si l'utilisateur est "keylogged, MITM, hacked via un exploit" c'est qu'il est visé par un attaquant sophistiqué et motivé, on peut exclure ce cas pour les usagers d'un forum ?
Ensuite s'il est "hameçonner" son navigateur ne va pas lui pré-remplir le mot de passe et il sera arrêté là (on est d'accord qu'aucun utilisateur lambda ne va taper de mémoire un mot de passe "complexe généré aléatoirement" ?)
Et concernant le "leaked car réutilisé ailleurs", d'abord n'ayant pas mémorisé le mot de passe il ne pourra pas le réutiliser facilement, il sera plus incité à en regénérer un autre dans son gestionnaire de mot de passe plutôt qu'aller rechercher/copier/coller un mot de passe existant (comptons sur sa flemme ça marche toujours), ensuite le leak étant sur des hash salés il est supposé inutilisable.

Bref l'idée de forcer l'utilisateur à utiliser des mots de passe à forte entropie est que cela l'incite très fortement à utiliser un gestionnaire de mot de passe et son générateur de mot de passe aléatoire. Bien sûr il peut y avoir des utilisateurs malveillants qui vont se donner du mal pour contourner les règles, mais les moyens à mettre en oeuvre pour les contrer dépassent largement les moyens d'un forum ou tout autre site non critique.

Mon point est qu'un TOTP n'apporte pas vraiment plus qu'un mot de passe complexe bien géré, le secret partagé n'étant pas fondamentalement différent, alors autant complexifier le mot de passe primaire. En plus ce secret partagé ne pouvant être haché sur le serveur, une fuite silencieuse permet de contourner le TOTP pour tous les utilisateurs, heureusement il ne peut pas être réutilisé entre sites.

Pour aller plus loin il n'y a que la crypto asymétrique, comme dans le Passkey, qui apporte un vrai changement de paradigme

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.

Oui tout à fait, on est d'accord !

pour m'auto repondre à mon topic

le bridage etait hardware. j'ai 4 SSD NVme dans mon PC, et 1 des 4 bridait la vitesse à 8G de DL tandis qu'un autre encaisse 10G constant sans sourciller

c'etait donc bien un bottleneck de la machine, et non pas de la freebox, ni du reseau local

L'AV1 est en passe de devenir au fur et à mesure le standard de-facto, VVC semble prometteur, mais est sans doute bien moins soutenu/implémenté et fait probablement du licensing, j'avoue ne pas m'être renseigné outre-mesure.
J'ai trouvé cependant un petit comparatif indépendant - parce qu'à mon sens, un comparatif de la part de nvidia ne peut pas être neutre - qui est sympa à lire, notamment sur la partie adaptive quantization:
https://chipsandcheese.com/2023/04/16/codecs-for-the-4k-era-hevc-av1-vvc-and-beyond/

La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.
Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

Pour TOUT compte disposant de privilège(s), il est nécessaire d'avoir ce genre de protection à minima, au delà de ça, si on entre dans ce genre de considération, toute la "chaîne" doit être protégée, mais pour un forum c'est un peu overkill. On tend à étendre ces protections aux consumers pour éviter la même chose, même si la criticité est moindre.

Il faut savoir également, que même avec du MFA, l'utilisateur peut quand même se faire pwn, notamment via du token replay, l'exploitation d'un méthode de récupération legacy, etc., mais la probabilité diminue quand même fortement et sa mise en place élimine un certain nombre de scénarios, on pourrait même aller plus loin avec la mise en place d'accès conditionnel, mais... non. Restons simple et cohérent.

Le modèle de sécurité global évolue, tout comme les méthodes d'authentification, le paradigme de l'identité change, mais l'héritage legacy est présent, et c'est le cas ici.
Aussi il n'y a pas que la finance, tu as également la défense, la pharmaceutique, les industries, etc. ces segments ont des réglementations à respecter, mais c'est un autre sujet.

Si on suit cette logique d'entropie pure, on pourrait aussi dire que l'entropie d'un PIN, utilisé dans les méthodes d'authentification passwordless, à 4 caractère soit considéré comme insécurisé.

Entre un PIN de 4 caractères numérique, représentant 10^4 possibilités, soit 10 000 combinaisons, et un PIN de 6 caractères numérique, de 10^6, soit 1 000 000 de possibilités, ce dernier conditionne, à la fois une différenciation d’entropie non négligeable, tout en permettant aux utilisateurs de disposer d’un PIN "mémorisable", mais plus complexe à retenir « on-the-fly ».

Un pin à 8 chiffre serait plus sécurisé, mais peut être considéré comme lourd pour le end-user, encore une fois, c'est une question de best practice et de politique de sécurité, 4 étant un minimum à utiliser, même si la tendance globale commence à être de 6.

Mais heureusement, les PINs dits "simple" sont généralement refusé à travers un algorithme spécifique, et les puces types TPM offrent des protections anti-hammering, en pratique, un nombre de tentative continu est autorisé, puis s'applique un throttling à X tentative(s) per X hour(s).

Enfin, il y a les autres facteurs qui sont présents, tout ce qu'un simple password ne peut donc pas sécuriser à lui seul.

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.