4 moyens de simplifier l'authentification de vos utilisateurs
L'authentification peut être l'une des principales sources de tension pour les utilisateurs de votre application. Elle risque d'avoir une incidence sur l'adoption de votre produit, d'alourdir la charge pesant sur les équipes de support ou les administrateurs produit et, dans certains cas, de mettre à mal la sécurité.
Chez Okta, nous travaillons en étroite collaboration avec les développeurs pour concevoir et créer des flux d'authentification plus efficaces. Nous nous sommes aperçus que certaines méthodes simples permettent d'accélérer le processus pour les utilisateurs. Vous pouvez les mettre en place dès aujourd'hui. Voici quatre moyens de simplifier l'authentification de vos utilisateurs.
1) Éliminer les mots de passe grâce à la fédération
Si les mots de passe ne sont pas le seul problème, ils sont tout de même une source importante de difficultés. De fait, ce sont les demandes de réinitialisation de mot de passe et de récupération de compte qui sont les plus fréquentes dans de nombreux services d'assistance client. Un mot de passe sécurisé peut être difficile à retenir, à plus forte raison lorsqu'il y en a un pour chaque application. La réutilisation des mots de passe accroît la vulnérabilité aux attaques, mais ceux qui résistent à la tentation de recycler leurs mots de passe s'exposent à un défi de taille en matière de mémorisation.
La fédération est un excellent moyen d’éviter le casse-tête des mots de passe. Il s'agit d'externaliser l'authentification à un service de confiance, tel qu'un fournisseur d'identité sociale (par exemple, Facebook) ou un fournisseur d'identité d'entreprise appartenant à la société de l'utilisateur.
Optimisation des flux de connexion fédérés
De nombreuses applications ne permettent pas une expérience de fédération réellement optimale. Pour simplifier au maximum l'authentification fédérée, il est essentiel d'aider l'utilisateur à passer facilement de l'authentification via le fournisseur d'identité, à votre application.
Dans les cas d’usage grand public, les utilisateurs disposent souvent de plusieurs profils associés à différentes identités sociales ; il faut donc les aider à se souvenir de l'identifiant qu'ils ont choisi pour créer leur compte. Une méthode élégante consiste à demander d'abord l'adresse e-mail de l'utilisateur. Une fois qu'il a saisi son adresse, l’utilisateur reçoit un indice sur le fournisseur d'identité auprès duquel il est inscrit ou il est invité à s'identifier auprès du fournisseur approprié en fonction de son domaine. Après avoir cliqué sur le fournisseur d'identité suggéré, l'utilisateur reçoit des instructions pour s'y connecter ou, mieux, s'il a déjà ouvert une session auprès du fournisseur, il a directement accès au compte précédemment créé ou à un compte créé à la volée.
Si l'utilisateur s'identifie avec un autre fournisseur d'identité sociale que celui utilisé pour s'inscrire, une étape de liaison entre comptes permet de déterminer que l'utilisateur détient bien les deux identités. Il est alors autorisé à se connecter avec les deux, ce qui limite les problèmes en cas d'oubli lors de tentatives de connexion ultérieures.
Les scénarios d'entreprise fonctionnent selon le même principe : l'approche consistant à demander l'adresse e-mail en premier est tout aussi efficace. L'utilisateur peut entrer son adresse, puis être redirigé vers le fournisseur d'identité pour s'authentifier, au lieu d'avoir à saisir plusieurs fois son nom d'utilisateur et son mot de passe.
Trop souvent, des applications imposent des étapes de connexion superflues. Par exemple, dans le navigateur, une erreur fréquente consiste à présenter un bouton pour l'authentification unique avant même que l'utilisateur ait pu saisir ses identifiants. Or, ce devrait être à l'application de rediriger l'utilisateur vers le fournisseur d'identité approprié.
Envisagez donc de mettre en place la méthode de l'adresse e-mail pour éliminer en grande partie les points de friction liés à la fédération.
2) Lier l'intégralité de votre expérience produit à une seule identité
La modularisation des applications progresse à grands pas, et les développeurs choisissent de plus en plus de créer des expériences transversales entre produits : par exemple, Zendesk et Service Cloud pour le service clients, et Jive, Lithium et Salesforce Communities pour les communautés d'utilisateurs et de clients en ligne. Dans bien des cas, un produit comprend des applications hétérogènes, élaborées par des équipes différentes.
Si les utilisateurs sont obligés de se connecter séparément à chaque composant d'un produit, ils devront mémoriser tous les identifiants. De plus, si vous vous êtes donné la peine de conférer à tous les composants un aspect distinctif, visant à créer l'illusion d'un seul et même produit, les utilisateurs ne sauront sans doute pas avec quelle partie du produit ils interagissent.
Dans les scénarios modulaires, il est également important de transmettre le contexte lié à l'utilisateur de façon cohérente d’un élément à l’autre. Les droits, la politique d'accès et tout autre contexte lié au profil doivent être les mêmes dans tout le produit.
L'authentification unique peut contribuer à unifier les différentes parties de votre application au sein d’une seule étape d'authentification et d’une seule session. Le fournisseur d'identité devient alors l'unique source de référence pour les utilisateurs, les informations de profil et les droits d'accès, ces données étant transmises lors de l'accès à chaque partie du produit.
3) Simplifier l'authentification multifacteur grâce aux notifications push sur mobiles
Les mots de passe à usage unique sont sans doute la forme la plus répandue d'authentification multifacteur. L'utilisateur installe une application sur son téléphone ou reçoit un appareil avec un code à durée limitée qu'il doit saisir dans un délai limité pour se connecter.
Cette expérience est loin d'être satisfaisante. L'utilisateur doit regarder d'un écran à l'autre, recopier des chiffres par blocs dans le champ de saisie et se dépêcher pour finir dans le temps imparti.
Avec l'omniprésence des smartphones, une solution plus efficace se présente : les notifications push sur mobile. Une fois installée, une application peut envoyer une notification au terminal de l'utilisateur dès la première connexion. L'utilisateur peut alors accepter ou refuser la demande par une simple pression sur son téléphone ou sa montre connectée.
4) Adopter l'authentification sans mot de passe
Certaines applications se prêtent bien à une nouvelle approche : l'élimination pure et simple du mot de passe. Avec l'authentification sans mot de passe, l'utilisateur saisit son identifiant et reçoit par e-mail ou par SMS un jeton (token) à usage unique qui lui permet de se connecter une seule fois avant l'expiration du jeton.
L'astuce dans ce cas est qu'au lieu d'émettre et de gérer des identifiants, le flux se réduit au seul processus de récupération de compte (éliminant au passage les étapes fastidieuses de définition et de mise à jour d'un mot de passe). Si les utilisateurs font rarement appel à votre application et risquent donc d'oublier leurs identifiants, l'authentification sans mot de passe est une option tout indiquée.
Un avenir prometteur
Nous espérons que ces quelques idées vous aideront dès à présent à faciliter la vie des utilisateurs. Même si nous ne sommes pas encore tout à fait prêts à abandonner entièrement les mots de passe, nous sommes impatients de voir ce que l'avenir nous réserve. L'adoption massive des terminaux mobiles et des outils biométriques tels que TouchID crée des conditions favorables pour améliorer l'expérience utilisateur en matière d'identification. Par exemple, en disposant de plus d'informations sur la localisation, le comportement et les données biométriques de l'utilisateur, il est possible d’élaborer des modèles adaptatifs axés sur les risques pour faciliter l'accès aux ressources dans certaines circonstances, tout en imposant des étapes d'authentification plus interactives ou plus strictes dans d'autres. Affaire à suivre !