Why not?
Discord le fait parfaitement.

l'énorme problème du 2FA, c'est qu'à 99% il dépend d'un appareil mobile. et que tout le monde n'en a/veut pas.
yavait le 1% qui pouvait se faire par email, comme chez frandroid (je crois), mais c'est très marginal.
personnellement, hors une banque, hors de question que je relie quelque service à l'appareil le plus volatile du quotidien, juste derrière les clés : cela n'arrivera pas (et fut une des raisons du divorce à couteaux tirés de certains gafam, google en tete de gondole)

Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.

Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.

l'intéret de faire un DDOS sur lafibre?

- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.

c'est marginal ici..

- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.

le monde est fait pour etre imparfait

Comment faites vous ? Peut-être une télécommande universelle ?

Celle du Firestick et pis c'est tout, qui allume la télé, pilote son son et gère le reste des applis.

Une seule, petite, légère, simple et pas fragile.

L'AV1 est en passe de devenir au fur et à mesure le standard de-facto,

Peut-être. Mais en ce qui concerne la télédiffusion en France, c'est mal parti :

- Malgré l'absence d'édition de label pour les Téléviseurs obligatoire par le législateur, c'est le duopole HEVC/ DVBT2 qui s'est imposée pour la TNT UHD.
- L'AV1 ne semble pas être beaucoup repris dans les tuners intégrée des TV.

Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.

Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.

- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.

- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.

La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.

Certes, mais de mon point de vue de façon un peu trop "moutonière", c'est pour ça que je bouscule un peu le consensus

Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

J'entend tes arguments, mes je pense que tu ne vois pas tous les aspects :
D'abord si l'utilisateur est "keylogged, MITM, hacked via un exploit" c'est qu'il est visé par un attaquant sophistiqué et motivé, on peut exclure ce cas pour les usagers d'un forum ?
Ensuite s'il est "hameçonner" son navigateur ne va pas lui pré-remplir le mot de passe et il sera arrêté là (on est d'accord qu'aucun utilisateur lambda ne va taper de mémoire un mot de passe "complexe généré aléatoirement" ?)
Et concernant le "leaked car réutilisé ailleurs", d'abord n'ayant pas mémorisé le mot de passe il ne pourra pas le réutiliser facilement, il sera plus incité à en regénérer un autre dans son gestionnaire de mot de passe plutôt qu'aller rechercher/copier/coller un mot de passe existant (comptons sur sa flemme ça marche toujours), ensuite le leak étant sur des hash salés il est supposé inutilisable.

Bref l'idée de forcer l'utilisateur à utiliser des mots de passe à forte entropie est que cela l'incite très fortement à utiliser un gestionnaire de mot de passe et son générateur de mot de passe aléatoire. Bien sûr il peut y avoir des utilisateurs malveillants qui vont se donner du mal pour contourner les règles, mais les moyens à mettre en oeuvre pour les contrer dépassent largement les moyens d'un forum ou tout autre site non critique.

Mon point est qu'un TOTP n'apporte pas vraiment plus qu'un mot de passe complexe bien géré, le secret partagé n'étant pas fondamentalement différent, alors autant complexifier le mot de passe primaire. En plus ce secret partagé ne pouvant être haché sur le serveur, une fuite silencieuse permet de contourner le TOTP pour tous les utilisateurs, heureusement il ne peut pas être réutilisé entre sites.

Pour aller plus loin il n'y a que la crypto asymétrique, comme dans le Passkey, qui apporte un vrai changement de paradigme

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.

Oui tout à fait, on est d'accord !