Recovery sans email : comment ça tient face au phishing ?

Le protocole dérive la clé de récupération via HMAC(mot_de_récup, domaine || sel_du_site). Un site de phishing aurait un domaine et un sel différents → la clé dérivée ne correspondrait pas. Pas d'email = pas de vecteur de reset détourné.