Aide et FAQ/Sécurité et confidentialité
Parce que c'est un arbitrage délibéré, pas un oubli. La 2FA familière - code par SMS ou appli d'authentification - existe pour consolider des mots de passe faibles choisis par des humains, et elle repose sur un secret partagé et un chemin de récupération hébergés sur un serveur. C'est exactement la surface d'attaque que le modèle à phrase supprime : ton appareil prouve qu'il détient la clé en signant un défi, nos serveurs ne reçoivent donc jamais qu'une clé publique et une signature - jamais la phrase, jamais un hash de mot de passe. Boulonner un code par-dessus réintroduirait la machinerie serveur que ce design évite précisément, sans rien apporter contre la devinette, puisque 128 bits ferment déjà cette porte.
Le seul second facteur qui apporterait vraiment quelque chose est un facteur résistant au phishing, comme une clé de sécurité matérielle ou une passkey, car les vrais risques résiduels ne sont pas la devinette mais le phishing, les malwares et une phrase volée ou lue par-dessus ton épaule. Sur un appareil laissé déverrouillé, le verrouillage de l'appli (PIN) et le déverrouillage biométrique sont le garde-fou local.
Au-delà, la phrase est la clé, alors sauvegarde-la le jour où tu crées ton compte : range-la dans un gestionnaire de mots de passe sérieux, ou imprime-la ou écris-la et garde cette copie en lieu sûr. Et ne la colle jamais ailleurs que dans l'appli elle-même.