L'authentification par SMS de ma banque est encore dans les choux, je ne peux rien payer sur internet. La fatigue.
Pourquoi ils continuent à nous emmerder avec des solutions foireuses comme les SMS ou - pire - les applications bancaires ???
TOTP a été standardisé il y a 11 ans et il marche magnifiquement bien.
Je comprends bien que les banques veulent un code lié à la transaction en cours (ce que ne permet pas TOTP), mais il n'est pas difficile d'imaginer de faire évoluer TOTP dans ce sens. Imaginez :
1) La page web vous affiche un code unique à cette transaction à taper dans l'application TOTP.
2) L'application TOTP ajoute ce code aux données TOTP de base (date/heure+code secret TOTP) avant de hasher (HMAC).
3) vous tapez le code résultant dans la page web et validez.
Ainsi:
- ça ne nécessite aucune infra, aucun canal de communication en dehors de la page web elle-même (c'est purement calculé dans le serveur web ; pas de messages à envoyer par des infras externe (SMS, GCM...))
- c'est cryptographiquement solide (on sait que TOTP est solide).
- ce n'est pas rejouable dans le temps (car le code est mêlé à TOTP, donc dépendant du temps).
- c'est bien lié à la transaction (le code que vous avez entré est unique à la transaction)
(Permalink)