Tester les mots de passe présents dans « Have I Been Pwned » : pertinent, à condition d’être explicite dans le message d’erreur, sinon Paul et Jean ne vont pas comprendre pourquoi `MarsE1lle2019!` ne passe pas.

Du coup, ça implique de faire de la pédagogie, parce qu’il faut expliquer le mot de passe est long et complexe en soi MAIS qu’il fait partie d’un dictionnaire DONC qu’il est vulnérable à une attaque de ce type…

J’ai ma petite idée sur la frustration et le taux d’abandon engendré…

Et si l’avenir pour les sites, c’était plutôt le no-password (utilisation directe de l’email comme authentification, avec envoi d’un lien de connexion unique) ?