Les clés d’accès sont une nouvelle technologie dans un monde qui est utilisée pour gérer les mots de passe. Si vous vous concentrez sur la création d'une expérience utilisateur de qualité, l'ajout de clés d'accès comme option d'authentification rendra la vie numérique de vos utilisateurs plus simple et plus sécurisée. Les bonnes pratiques concernant les clés d'accès évoluent. Suivre les conseils concernant les parcours utilisateur courants vous permettra d'accélérer votre processus de développement et de vous assurer que vos utilisateurs réussissent à utiliser des clés d'accès.
Cet article présente des recommandations pour les parcours utilisateur suivants:
- Créer des clés d'accès
- Créer des comptes avec des clés d'accès
- Se connecter avec des clés d'accès
- Gérer les clés d'accès
Ces recommandations s'appuient sur les recherches et les conseils relatifs à l'expérience utilisateur de FIDO Alliance, ainsi que sur les enseignements tirés par l'équipe Google chargée de l'expérience utilisateur.
Toutes les recommandations sont présentées sur l’exemple de Trailblazer, un site fictif de fitness.
Tout en suivant les meilleures pratiques, vous devez également tester votre expérience utilisateur dès le début et régulièrement si vous le pouvez. Vous vous assurez ainsi que votre implémentation du système de clés d'accès est intuitive et correspond aux besoins de vos utilisateurs.
Créer des clés d'accès
Pour vous assurer que vos utilisateurs sont prêts à créer une clé d'accès, invitez-les à en créer en même temps que les tâches liées au compte. Il existe quatre parcours utilisateur clés au cours desquels il est recommandé d'inclure une option permettant de créer des clés d'accès:
- Lors de la connexion.
- Dans la section "Sécurité" des paramètres du compte.
- Après la récupération du compte
- Après une nouvelle autorisation.
Se connecter
Le processus de connexion est une excellente occasion d'introduire les clés d'accès, car les utilisateurs sont déjà concentrés sur la sécurité et l'authentification à ce stade de leur parcours.
L'introduction des clés d'accès lors de la phase de connexion vous permet de configurer de façon proactive les utilisateurs pour qu'ils réussissent leurs futurs engagements avec votre service. Ce délai correspond également au niveau de certitude élevé que l'utilisateur est bien celui qu'il prétend être, ce qui améliore la sécurité globale et l'expérience utilisateur de votre plate-forme.
Un bon parcours utilisateur peut consister à authentifier l'utilisateur comme d'habitude, lui indiquer qu'il peut créer une clé d'accès, déclencher la boîte de dialogue de l'OS pour la création de clés d'accès, puis lui faire savoir que la clé d'accès a bien été créée. Laissez ensuite l'utilisateur continuer à son propre rythme.
Section "Sécurité" dans les paramètres du compte
L'intégration d'options de clés d'accès dans les paramètres de sécurité du compte d'un utilisateur est logique et adaptée au contexte. Les utilisateurs peuvent ainsi gérer et mettre à jour facilement leurs clés d'accès dans le cadre de leur configuration de sécurité globale. C'est également le moment idéal pour demander à un utilisateur les informations de récupération de son compte, comme son numéro de téléphone ou son adresse e-mail.
Récupération
La récupération de compte est une autre excellente occasion d'encourager un utilisateur à créer une clé d'accès.
La récupération n'est jamais un processus simple et, dans ces situations, la sécurité de leur compte est probablement leur priorité. Une fois qu'un utilisateur y accédera de nouveau, vous pourrez l'aider à réussir en créant une clé d'accès pour ses prochaines connexions.
Cela ouvre la voie à une sécurité renforcée et permet à l'utilisateur de bénéficier d'une expérience optimale et simplifiée lors de ses prochaines interactions.
Nouvelle autorisation
Parfois, il est nécessaire de demander à un utilisateur de se reconnecter ou de passer un test d'authentification pour qu'il puisse effectuer des actions sensibles, comme envoyer de l'argent ou modifier des informations personnelles. Une fois qu'un utilisateur a validé son identité, cela peut être l'occasion de l'encourager à créer une clé d'accès.
Cette opportunité exploite une plus grande sensibilisation de l'utilisateur à la sécurité, mais promet également un processus de réauthentification plus pratique pour les futures interactions. L'approche proactive améliore la sécurité globale du compte tout en offrant une expérience conviviale.
Annuler la création de la clé d'accès
Informez clairement l'utilisateur si la création de la clé d'accès a échoué et envisagez d'implémenter une fonctionnalité qui permette aux utilisateurs de recueillir leurs commentaires pour comprendre les problèmes potentiels (cela peut être dans le produit, ou même par e-mail ou un autre chemin d'accès).
De plus, fournissez à l'utilisateur un moyen simple de retenter le processus de création, ou de le revoir et d'en créer une autre par la suite, par exemple depuis les paramètres de sécurité. Cette approche garantit que même si un utilisateur annule intentionnellement ou non intentionnellement la création de la clé d'accès, il existe un moyen de réessayer.
Créer des comptes avec des clés d'accès
Lors de la création d'un compte avec une clé d'accès, il peut être utile de rediriger l'utilisateur vers une page désignée où il peut saisir un nom à afficher et un nom d'utilisateur unique. Une page désignée peut supprimer les distractions et mettre l’accent sur l’objectif principal. Ensuite, créez la clé d'accès.
Si un utilisateur crée un compte avec une clé d'accès, il est important d'établir une méthode de récupération pour son compte. Il peut s'agir d'un numéro de téléphone, d'une adresse e-mail, d'une connexion à un réseau social telle que "Se connecter avec Google" ou d'une autre option adaptée à vos besoins. La meilleure option peut varier en fonction des catégories démographiques et des préférences de votre base d'utilisateurs. En fonction des exigences de sécurité nécessaires à votre application, vous pouvez également demander une confirmation de l'identité lors de la création d'un compte.
Cette méthode de secours lui permet de récupérer son compte s'il perd l'accès à sa clé d'accès ou s'il se connecte sur un appareil sur lequel les clés d'accès ne sont pas encore disponibles. Les utilisateurs pourront ainsi toujours accéder à leur compte.
Se connecter avec des clés d'accès
Les clés d'accès offrent des options de connexion flexibles: saisissez votre nom d'utilisateur ou faites votre choix dans une liste de clés d'accès pour votre domaine. Pour un accès rapide et sans erreur, essayez la fonctionnalité WebAuthn de présentation d'une liste de clés d'accès pour un domaine donné. Elle présente les clés d'accès directement, ce qui réduit le temps passé et les efforts de saisie.
Concevoir la page de connexion
Concevoir une page de connexion efficace doit mettre l'accent sur la vitesse, la commodité de l'utilisateur et la facilité de compréhension.
Il peut s'avérer utile d'utiliser la fonctionnalité de saisie automatique des navigateurs Web modernes pour proposer les clés d'accès aux utilisateurs, ou d'intégrer les clés d'accès à l'API Gestionnaire d'identifiants pour proposer la clé d'accès le plus tôt possible.
Proposer plusieurs options de connexion, comme des champs pour le nom d'utilisateur et le mot de passe, ainsi que diverses connexions via les réseaux sociaux, peut offrir plus de polyvalence à vos utilisateurs, mais cela peut aussi s'avérer fastidieux. Hiérarchisez les options et présentez les plus utiles à votre base d'utilisateurs. Gardez à l'esprit que même si les taux d'utilisation des clés d'accès peuvent actuellement être inférieurs, elles améliorent la sécurité et l'expérience utilisateur, et de plus en plus d'utilisateurs les adoptent chaque jour. Implémenter des clés d'accès dès aujourd'hui vous permettra d'être sur la bonne voie pour réussir à l'avenir.
Si vous intégrez un bouton distinct pour les clés d'accès, assurez-vous qu'il est en adéquation avec votre esthétique et votre identité.
Gérer les clés d'accès
Utiliser le mot "Créer"
L'utilisation du mot "Créer" décrit mieux le processus de génération d'une nouvelle clé d'accès unique. Contrairement à un mot de passe, un compte peut avoir plusieurs clés d'accès permettant de se connecter. Par conséquent, une clé d'accès n'est généralement pas modifiée comme un mot de passe, mais elle est créée et ajoutée à la liste des clés d'accès disponibles. L'utilisateur peut les supprimer s'il en a besoin.
Lorsqu'une clé d'accès est créée, il s'agit d'un identifiant unique que les utilisateurs peuvent utiliser pour se connecter facilement et de façon sécurisée. Ce n'est pas comme donner à une application ou à un service une copie de votre mot de passe à stocker et à faire correspondre.
Permettre aux utilisateurs de trouver facilement des clés d'accès dans votre service
Indiquez clairement la source de chaque clé d'accès (parfois appelée "provenance" dans ce contexte), qu'il s'agisse du Gestionnaire de mots de passe de Google, du trousseau iCloud, de Windows Hello ou d'un gestionnaire de mots de passe tiers compatible avec les clés d'accès. En communiquant ces informations à vos utilisateurs, vous les aidez à identifier les clés d'accès répertoriées dans l'interface utilisateur.
Ajouter un numéro à des clés d'accès supplémentaires dans le même écosystème
Si un utilisateur crée plusieurs clés d'accès sur des appareils du même écosystème, ajoutez des numéros aux clés d'accès supplémentaires pour qu'il puisse les distinguer.
Utilisez le terme "supprimer" pour supprimer une clé d'accès.
Si un utilisateur souhaite supprimer une clé d'accès qu'il utilise sur votre site, vous pouvez supprimer la clé publique de votre serveur, mais la clé privée ne sera pas supprimée du gestionnaire d'identifiants de l'utilisateur ni de son appareil. Bien que ce processus soit techniquement une "révocation", nous vous recommandons d'utiliser le terme "supprimer" dans l'UI de gestion des clés d'accès pour des raisons de simplicité et de localisation.
Si vous avez des pages d'assistance pour la gestion de compte, ajoutez-y des informations sur la gestion des clés d'accès et incluez des liens vers les pages de gestion des clés d'accès sur différentes plates-formes telles que Chrome et iOS.
Utiliser un e-mail ou un téléphone de remplacement
Si vous disposez d'une adresse e-mail ou d'un téléphone de remplacement, l'utilisateur peut récupérer son compte s'il supprime toutes ses clés d'accès. Vous pouvez lui envoyer un lien de connexion ou un code pour qu'il récupère son compte. Vous pouvez également proposer aux utilisateurs de configurer des connexions via les réseaux sociaux, comme Se connecter avec Google.
Gérer plusieurs clés d'accès
Contrairement aux mots de passe traditionnels, un utilisateur peut créer plusieurs clés d'accès sur différents appareils pour un seul compte. Si vous ne parvenez pas à trouver la clé d'accès d'un utilisateur sur un appareil donné et que l'utilisateur se connecte à l'aide d'une méthode de connexion de remplacement, alors qu'il en a déjà créé une, invitez-le à en créer une. Cette action mettra à jour les informations dans leur gestionnaire d'identifiants ou établira une nouvelle clé d'accès sur leur appareil actuel.
Schémas du parcours utilisateur dans FIDO
Pour voir d'autres exemples et des diagrammes de parcours utilisateur détaillés, consultez les schémas d'architecture UX de FIDO.