melbou (./16668) :
1- j'ai plus de smartphone donc pas d'applis.

oué bon ben voila aussi ^^
(à un niveau professionnel, des trucs qui générent des tokens, ça doit exister ; me demande si c'est pas un truc que faisait RSA ou verisign à une époque, avec des sortes de porte-clefs qui généraient des nombres valables uniquement une courte durée -- exactement ce que fait l'appli android que j'utilise comme générateur de token "chose que j'ai" pour me connecter à mon compte google)

melbou (./16668) :
2- Ca revient au même, tu donnes ta confiance à une entreprise

Bah, si tu fais confiance à une entreprise en ayant un compte chez elle, où tu t'identifie par un couple login/password, je vois pas pourquoi tu ne lui ferais pas aussi confiance si elle rajoutait une seconde étape d'identification (au contraire)
D'ailleurs, de mémoire, l'appli que j'ai sur mon android (qui est éditée par google) doit pouvoir servir pour générer des tokens pour un peu n'importe quoi -- suffit de mettre en place l'algo sur ton site, et l'appli génératrice de token doit marcher aussi ; faudrait que j'essaye.

Et comme le dit Flan plus bas : tu ne fournis pas d'info à google (ou autre) : tu as juste un algo qui va bien d'un côté pour générer le token, et algo qui va bien de l'autre côté pour le valider.

Comme webmail : horde ergh, squirelmail ergh ; roundcube à la limite, c'était le moins repoussant, il y a quelques années ?