Flan > En fait, l'utilisateur cherche simplement le meilleur ration sécurité/emmerdes d'utilisation.
Typiquement, l'authentification à double facteur, j'ai laissé tomber. Trop de fois où plus de batterie sur le téléphone, ou alors que du filaire (nos nouveaux locaux sont recouverts de moucharabiers en métal, ça fait cage de Faraday), ou téléphone oublié...
Typiquement aussi, il y a plein de personnes qui ont activé l'authentification automatique pour l'ouverture de session et j'en passe.
Le risque existe (et la plupart du temps, ils en sont conscient, même s'ils n'en mesurent pas forcément toutes les implications), mais pour l'utilisateur lambda, le risque est moins dans une compromission de ce type que dans un cryptoware qui va utiliser de l'exécution de code dans un PDF avec un lecteur pas à jour.
Pour les serveurs ou le fonctionnement en entreprise, c'est plus critique...