Hello,
Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte. Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).
v6 et grandes entreprises... #joker. Ceci dit, je suis 100% d'accord avec cette méthode utilisée. J'ajoute dans mon coté un certificat par personnes dans certains cas (eg. clef ssh).
Tant que j'y suis je déteste aussi toute forme de mot de passe visuel qui n'est pas du tout sécurisant dans un bureau avec des yeux partout autour et même à titre perso je suis sur que ma femme connaît mes identifiants mdp de ma banque pour mon compte perso à force d'être à côté de moi pour faire les comptes ... alors qu'un copier coller d'un mot de passe complexe rend impossible la captation de mot de passe à la volée.
100% d'accord avec toi, mais c'est tellement le bout de sparadrap pour tenir une plaie qui pisse le sang que ça sert à rien. Alors que des OTP hardware (RSA ou bien d'autres) suffisent pour gérer ce genre de choses. En France, on eu toujours du retard avec la technologie... Ceci est un bel exemple.
Exemple de OTP + banque : Bank Of China (en France) le propose par défaut... Alors que la Chine est censé être un pays moins développé que nous (j'avais ce compte avec mon épouse en 2012-2013, plus maintenant pour des raisons perso, mais c'est quand même la seule banque qui propose ça...).
Xavier