Oui, mais là on parle d’utiliser TOTP pour faire ça. Dans le cas où tu n’as pas (ou ne veut pas) de smartphons, tu n’as probablement pas non plus d’application de TOTP.
Ce que je veux dire c’est que si tu n’as pas de smartphone, toute la seconde partie de mon message (la description du fonctionnement d’une application de TOTP « DSP 2 ready ») ne te concerne pas.
# TOTP
Posté par Anonyme . Évalué à  2. Dernière modification le 22 juin 2021 à 18:02.
Dans le wiki ils parlent de TOTP comme solution alternative interropérable. Ça me semble aussi la solution la plus adapté pour du MFA, mais le problème c’est que le paragraphe 2 de l’article 97 de la DSP 2 dit ceci (emphase de moi) :
Et je crois que c’est interprété comme « il faut afficher le montant de la transaction avec le code MFA », ce qui met de côté toutes les solutions de MFA existante.
Après, je pense que pour avoir une solution « DSP 2 ready » et interopérable, ça serait assez simple (comme ça a chaud) :
Passer par une étape intermédiaire plutôt que d’envoyer des infos de payement dans le QR code permet d’éviter un éventuel MITM (on peut pas te donner un QR code bidon).
Ça nécessiterait très peu de modifications dans les applications existantes et (point le plus important) les banques n’auraient pas grand chose à faire (simplement fournir une API pour récupérer les informations).
Le problème c’est que ça nécessiterait une décision politique.
[^] # Re: TOTP
Posté par Anonyme . Évalué à  2.
Ah aussi, si quelqu’un peut modifier « Hello banque » (qui apparait 2 fois) en « Hello bank » (voir « Hello bank! » si on veut respecter le nom commercial), en tant qu’anonyme j’ai pas les droit pour éditer.
[^] # Re: TOTP
Posté par deuzene (site web personnel) . Évalué à  4.
et moi je fais comment avec mon dumb phone ? C'est une vraie question. Je n'ai pas et n'ai pas envie d'avoir un truc qui fait autre chose que téléphoner et envoyer/recevoir des SMS.
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
[^] # Re: TOTP
Posté par Stinouff . Évalué à  1.
Une alternative bureau est peut-être envisageable ?
[^] # Re: TOTP
Posté par Anonyme . Évalué à  2. Dernière modification le 22 juin 2021 à 21:10.
Oui, mais là on parle d’utiliser TOTP pour faire ça. Dans le cas où tu n’as pas (ou ne veut pas) de smartphons, tu n’as probablement pas non plus d’application de TOTP.
Ce que je veux dire c’est que si tu n’as pas de smartphone, toute la seconde partie de mon message (la description du fonctionnement d’une application de TOTP « DSP 2 ready ») ne te concerne pas.
[^] # Re: TOTP
Posté par deuzene (site web personnel) . Évalué à  1.
Merci pour cette précision.
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
# Conclusion provisoire
Posté par jihele . Évalué à  2.
(Initialement posté ici par erreur)
Reste que ça repose sur un SMS donc une ligne mobile, pour une consultation de comptes ou un achat qui ne nécessite qu'internet. (Avec alternative potentielle à base de dispositif physique unique type lecteur de carte CB générateur de code.)
La solution mise en place par PayPal décrite dans mon commentaire ici me paraitrait utile comme troisième possibilité.
A noter qu'une appli OTP ça peut tourner sur un ordi, une tablette, un vieux smartphone récupéré qu'on n'utilise qu'en WIFI, donc ça n'impose pas un smartphone + un abonnement.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.