2FA Bypass — Contourner la double authentification
★★★★★
Techniques de contournement
# 1. Race condition sur la vérification OTP
for i in {1..20}; do curl -X POST /verify-2fa -d "code=$i" & done
# 2. Endpoint alternatif sans 2FA (/mobile/login oublié)
# 3. Session valide émise AVANT validation 2FA = bypass complet Défenses
Ne jamais émettre de session valide avant la validation complète du 2FA · Rate limiting strict (3-5 tentatives max) · Cohérence des protections sur tous les points d'entrée