Sauf qu'en pratique c'est hyper chiant pour s'authentifier, ce genre de trucs. Pour une banque ou quelque chose de critique, OK, mais pour la majorité des sites où j'ai créé un compte, s'ils imposaient un système two-step à durée limitée, je cesserait tout simplement de m'identifier. Même pour yAronet je ne ferais pas l'effort je pense.

Pour moi la meilleure alternative disponible actuellement, c'est OpenID avec un mot de passe fort, éventuellement une authentification two-step (mais certainement pas à durée de vie limitée), et en supposant que le fournisseur soit fiable bien sûr (mais bon je fais davantage confiance à Verisign ou Google qu'au site lambda qui stocke ses mdp en md5 sans salt).