Le code de bypass tu peux l’utiliser si tu le connais, donc si je l’ai utilisé dans une situation à risque et que tu étais là pour l’intercepter. il est prévu pour usage exceptionnel, et dans l’idéal pas du tout, mais il est important pour gérer le « au cas où », pour que le téléphone (ou autre objet physique) ne devienne pas le problème à l’avenir.

Si tu parlais de faire attention à ce que chaque service stocke des hachages et non les passes en clair, qu’ils demandent une vérification par email lors d’une authentification réussie précédée par de multiples authentifications ratées, nous sommes d’accord que ce serait un gros pas, mais ça ne couvrira là aussi qu’une partie du problème, ça restera une authentification faible. Dans ta liste j’ajouterai aussi le fait d’avoir une graine aléatoire lors du hachage par exemple.