L'authentification par SMS de ma banque est encore dans les choux
L'authentification par SMS de ma banque est encore dans les choux, je ne peux rien payer sur internet. La fatigue.
Pourquoi ils continuent à nous emmerder avec des solutions foireuses comme les SMS ou - pire - les applications bancaires ???
TOTP a été standardisé il y a 11 ans et il marche magnifiquement bien.
Je comprends bien que les banques veulent un code lié à la transaction en cours (ce que ne permet pas TOTP), mais il n'est pas difficile d'imaginer de faire évoluer TOTP dans ce sens. Imaginez :
1) La page web vous affiche un code unique à cette transaction à taper dans l'application TOTP.
2) L'application TOTP ajoute ce code aux données TOTP de base (date/heure+code secret TOTP) avant de hasher (HMAC).
3) vous tapez le code résultant dans la page web et validez.
Ainsi:
- ça ne nécessite aucune infra, aucun canal de communication en dehors de la page web elle-même (c'est purement calculé dans le serveur web ; pas de messages à envoyer par des infras externe (SMS, GCM...))
- c'est cryptographiquement solide (on sait que TOTP est solide).
- ce n'est pas rejouable dans le temps (car le code est mêlé à TOTP, donc dépendant du temps).
- c'est bien lié à la transaction (le code que vous avez entré est unique à la transaction)
2022-09-27 09:46:59
?dVyTWg