Le principe du 2FA (MFA) est d'empêcher les usurpations / vol de comptes. Donc dans la majorité des cas, quand quelqu'un essaie de se connecter via ton compte (et qu'il a accès au mot de passe) et voit le MFA, il ne va pas plus loin, donc tu ne sera peut-être pas pas alerté.

Déjà ma gestion des mots de passe est plutôt sécurisée (rapport au modèle de menace du piratage de compte standard, mais ça tiendrait pas face à une attaque ciblée avec les moyens d'une agence spécialisée ou d'un état-nation), ensuite en admettant que quelqu'un ait réussi a obtenir mon mot de passe et s'en serve pour se connecter, il ne sait qu'après avoir saisi l'identifiant et le mot de passe puis validé qu'il y a un le 2FA et à cette étape le SMS est déjà envoyé.

Comme je n'ai jamais reçu de code 2FA que je n'avais pas demandé, j'en déduis (peut-être à tort) que je n'ai pas encore fait l'objet d'une tentative de ce genre. Ou alors il faudrait une coïncidence improbable où la tentative se produise pile avec des rares SMS qui n'arrive pas.

Dans le cas d'une attaque qui détourne et capte le SMS, je ne le reçois effectivement pas et je ne sais pas que mon compte est compromis, mais dans ce cas comme je le disais la 2FA ne me protège pas.

Quand on voit la majorité des personnes utiliser le même mot de passe que leur boite mail pour les autres comptes, et se faire hacker complètement, je peux te dire qu'une fois récupéré leurs accès, ils ne rechignent pas à activer le MFA.

Et c'est une mauvaise solution qui ne corrige pas le problème. La bonne solution c'est d'avoir un mot de passe différent pour les choses importantes et de ne pas réutiliser le même.
Ce n'est pas mon cas, chacun de mes mots de passe est unique, mais même si je réutilisais le même mot de passe, et que ce mot de passe était compromis ça ne permettrait pas d'accéder à mes autres comptes parce que chaque compte utilise aussi un identifiant différent.

Pourquoi vouloir pénaliser les gens qui appliquent une politique de sécurisation de leurs mots de passe en le justifiant par le fait que d'autres ne suivent pas les recommandations basiques répétées à tout bout de champ ?

Enfin, tu parle de 2FA alors que la grande majorité des services (qui nous volent nos données personnelles) utilisent le MFA, donc plus lié à un seul téléphone ou numéro, ce qui rend la récupération facile. Sans compter les codes de secours.

Je le reconnais c'est un abus de langage, je parlais de 2FA en faisant référence au MFA de valeur 2 basé sur SMS/numéro de téléphone (mais ça s'applique pareil pour ordiphone et app). Je ne sais pas d'où sort cette idée que la grande majorité des services ont recours à plus que du 2FA. Je n'en ai encore jamais rencontré ce cas de figure d'un 3+FA obligatoire, ou qui ne requiert pas un téléphone/ordiphone. Et pourtant j'en vois passer pas mal des scénarios d'usages différents de gens dans des configurations différentes chaque semaine.
Après c'est vrai je ne suis pas membre des services qui requiert un numéro de téléphone à l'inscription.

Discriminant oui, qui ne protège de rien, non.

À part le cas que tu cites où ça protège les gens de leur propre mauvaise gestion des mots de passe, quand une boite avec de mauvaise pratique de sécurité a connu une fuite des données connexion de ses membres, est-ce que tu as des vrais exemples où ça protège l'usager ? et si tu as des exemples est-ce que le MFA est nécéssaire pour cette protection ou est-ce qu'une gestion correct de mots de passes aurait suffit ?

Ce ne sont pas des gens en costard déconnectés de la réalité qui ont mis ça en place. Il faut justement être dans cette réalité (le tout connecté) pour en comprendre les enjeux.

Juste pour prendre un exemple: la directive DSP2 européenne qui est la raison pour laquelle les banques mettent presque toute du 2FA par SMS.
Tu me dis que les gens qui ont pondu cette directive DSP2 sont des gens connectés qui comprennent la réalité et les enjeux ? et les décideurs des différentes banques qui ont decider de la manière d'implémenter la DSP2 en choisissant de l'interpréter comme ça les arrange ? Eux ils ne sont pas dans le même réel que le reste de la population.

Et justement c'est ce que je disais, ce sont des gens du "tout connecté" mais déconnecté de la réalité qui sont dérrière ça (probablement type silicon valley ou startup nation, donc homo economicus capitaliste). Moi ça fait près de 30 ans que j'évolue dans le monde connecté, mais je ne suis pas déconnecté du monde réel. Jamais il ne me viendrait à l'idée de faire ce genre de chose, les défauts sont évidents et les conséquences socials sont profondes.

Oui le MFA peut être utile et avoir du sens dans des contextes spécifiques mais pas dans une approche globale qui s'applique à tout le monde.

— Permalink