Je trouve l’authentification par certificat très sécurisé, puisque proche du principe SSH.

Le problème reste le support de ce type d’authentification dans les applications. C’est très complexe à mettre en œuvre et n’incite pas les développeurs à autoriser plusieurs identités par compte, ce qui serait une solution au problème de mobilité.

Actuellement, l’authentification par certificat se fait sur SSL, ce qui oblige à la configurer sur le serveur SSL et pas dans l’application. Il faudrait envisager un système similaire basé sur le principe de clé publique/privée mais basé sur HTTP. Ce qui permettrait de le déployer plus facilement directement dans les applications.

Avec un support côté navigateur, il y a moyen de faire quelque chose d’utilisable tout en étant sécurisé. Mais ce n’est pas pour demain…