dualmoo (./21) :
oui mais je veux dire, c'est chiant pour l'utilisateur qui veut se connecter d'une machine qui n'est pas dans la whitelist

C'est pour ça qu'on fait des ponts... de l'extérieur, on peut se connecter à des machines qui n'ont pas de whitelist. De là, on peut ensuite se connecter aux points névralgiques. (Bien sûr, les mots de passe ne sont pas les mêmes).
C'est pas aussi secure qu'une clé, c'est clair, mais c'est plus souple (je trouve). Pas besoin de te déplacer avec ta clé ou ton certificat.