Cela peut être un chantier réalisé sur le long terme, mais pour l'instant le landscape actuel consiste en l'arrêt de transmission des mots de passe en clair par email, et l'ajout d'un facteur pour éviter l'overtake d'un compte, tout cela le plus simplement possible par l'équipe, et si possible, sans augmenter la surface d'attaque en utilisant d'obscures plugins probablement non audités.
Après en effet comme il a été dit dans ce fil de discussion, il faut pondérer les efforts en fonction de la criticité de la chose. Le TFA est un "nice to have", mais si mon compte se fait pirater (probablement via la ré-utilisation des quelques mots de passe "basse sécurité" que j'utilise pour tout ce qui n'est pas critique), il suffira de contacter Vivien pour qu'il fasse le ménage - même si en effet, il a peut-être d'autres choses à faire ! Entre-temps l'usurpateur aura peut-être posté quelques messages disant que le réseau de Free est infiniment supérieur à tous les autres, que le FFTLA ne doit pas être appelé fibre ou que les éoliennes c'est le mal, mais je ne pense pas que ce sera un grand drame.
Au final il me semble que sur ce forum, le plus grand risque est une tentative d'attaque/takeover de comptes par des anciens membres "revanchards" (on a eu quelques cas...);
Ce forum reste un "hobby" pour Vivien et il faut aussi qu'il trouve du plaisir ou de l'intérêt aux moyens de sécurité qui seront mis en place. Tant que les mots de passe ne sont pas stockés en clair...