L’état de l’art de l’authentification

Posted by ReachFive on Jul 26, 2019 5:57:12 PM

“Please first confirm you are not a robot”

En moyenne, chaque utilisateur possède une centaine de comptes en ligne, boites emails, réseaux sociaux, comptes clients etc, soit presque autant de mots de passe et de caractères spéciaux à retenir. Et ce chiffre continue d’augmenter d’environ 14% par an, selon une étude Dashlan.

Cette multiplication des comptes et mots de passe pose problème à différents niveaux. D’abord en termes de scalabilité : plus on crée de comptes, plus on doit retenir de mots de passe et plus l’authentification devient fastidieuse. Véritable frein à une expérience client fluide et réussie : 31% des consommateurs déclarant même quitter fréquemment un site s’ils rencontrent des difficultés à retrouver leurs identifiants.

85% des internautes ne sont pas satisfaits des processus d’authentification, la moitié d’entre eux les jugeant trop longs et peu sécurisés. Face à ce chiffre, il existe des solutions alternatives aux mots de passe classiques. L’explosion des vols et fuites de données personnelles font de la sécurité une priorité tant pour les marques que pour les utilisateurs, qui ont des exigences toujours plus hautes en la matière. Ces nouvelles solutions de login doivent ainsi être aussi fiables que l’authentification dite classique, voire plus, tout en offrant une expérience client fluide et agréable.

Nous revenons pour vous sur l’état de l’art de l’authentification.


Nom d’utilisateur/mot de passe :

Recommended password : “ZH./Ei8ù&hFCTvrSPm/keox4fA==”

La méthode d’authentification classique, connue et digne de confiance aux yeux de tous, commence pourtant à montrer des signes d’essoufflement. Son utilisation est contraignante pour l’usager et des études ont montré qu’un mot de passe n’était pas si difficile à hacker. D’autant plus que plus les règles de sécurité se complexifient (Une majuscule, une minuscule, un chiffre, un caractère spécial etc), rendant la mémorisation des mots de passe encore plus difficile, plus les utilisateurs utilisent le même, véritable risque pour leur données personnelles

Si cette solution reste efficace, elle mériterait quelques améliorations pour en faciliter l’utilisation. D’abord, il s’agirait de faciliter l’authentification de l’utilisateur, en lui rappelant les règles relatives au mot de passe, ou encore en donnant un message d’erreur précis : Est-ce l’adresse email ou le mot de passe qui est incorrect ? Ensuite, les règles de sécurité des mots de passe ont été démontrées plutôt inefficaces donc elles pourraient être supprimées pour laisser l’utilisateur choisir un mot de passe au format qui lui convient et qu’il se remémorera facilement. Parmi les formats possibles : le passphrase.

Passphrase

Cette méthode d’identification est très similaire au modèle classique, la différence résidant dans le format du mot de passe : ici c’est une « phrase » ou un enchaînement de mots.

Facile à mettre en place puisqu’il suffit de supprimer les règles de sécurité et suggérer cette solution à l’utilisateur, cette authentification est aussi plus sécurisée. En effet, il sera très difficile pour un ordinateur de deviner une suite de mots au hasard. Et pourtant sa mémorisation pour l’utilisateur sera plus facile puisque celui-ci choisira librement un enchaînement de mots qui a du sens pour lui.

Double facteur

Si l’implémentation de cette solution demande un peu plus de technique en amont, elle augmente considérablement la sécurité du compte utilisateur sans en rendre l’utilisation compliquée.

Une fois authentifié « classiquement », l’utilisateur reçoit par email ou sms un lien ou un code de vérification qui n’est valable que pour une durée limitée. Cela permet également d’être immédiatement averti si quelqu’un tente de se connecter à notre compte.

Cette solution reste néanmoins un peu contraignante et est le plus souvent proposées dans les cas où une sécurité accrue est nécessaires. L’idéal serait de la proposer aux utilisateurs comme une option, ils seraient ainsi libres de choisir le niveau de contrainte/sécurité en fonction des requêtes.

Social Sign-in

Le Social Sign-in consiste tout simplement à s’authentifier au travers des connecteurs sociaux (Identity Providers), en un clic. Les réseaux sociaux. faisant désormais partie du quotidien des consommateurs, cette solution est de plus en plus utilisée, pour son côté pratique, rapide et sécurisé.

Le Social Sign-in permet notamment, en répondant aux exigences de rapidité et de facilité des utilisateurs, de réduire le point de friction au moment de la création de compte ou de la connexion, et donc de réduire le taux d’abandon panier.

Passwordless

Très sécurisée et facile d’utilisation pour l’internaute, cette solution demande en revanche un peu plus de travail pour les équipes SI. Ici l’utilisateur ne crée pas de mot de passe mais reçoit un lien ou un code chaque fois qu’il souhaite se connecter. Le lien est unique et expire dans un délai très court, garantissant un niveau de sécurité élevé.

Biométrique

Empreintes digitales ou rétiniennes, reconnaissance vocale, reconnaissance faciale : L’authentification biométrique gagne du terrain et la CNIL a récemment autorisé 9 banques à tester la reconnaissance vocale comme authentification de leurs clients.

Si cette solution demande l’intégration de technologies adéquates, c’est un excellent système d’authentification, facile et sécurisé. S’il existe en effet une chose que chacun a sur lui en permanence sans avoir besoin d’y penser et qui sont très difficile à pirater, ce sont bien nos données biométriques.

Si cette technologie en est encore à ses débuts, elle est clairement amenée à se développer pour rendre l’expérience client plus fluide, rapide et sécurisée.

Device connecté

Enfin, on voit apparaître l’authentification par device connecté. C’est-à-dire que l’on sécurise la connexion entre deux appareils puis on utilise l’un pour déverrouiller l’autre : on pense notamment aux voitures que l’on peut démarrer sans avoir à introduire la clé dans le contact tant que celle-ci se trouve à proximité immédiate.

C’est une option très intéressante justement dans le domaine des objets connectés. En effet de nombreux dispositifs médicaux ou autres objets contenant des données personnelles sont aujourd’hui connectés. S’il peut être pénible de devoir s’authentifier à chaque utilisation, la sécurité reste néanmoins primordiale et la connexion par device connecté peut rendre cette expérience fluide et même invisible.


Dans la recherche d’une expérience utilisateur simple, rapide et fluide, l’authentification est en pleine révolution. La meilleure authentification étant totalement invisible, on en est encore très loin quand on voit que la majorité des sites continuent d’utiliser le système nom d’utilisateur-mot de passe aux règles de sécurité compliquées et contraignantes.

Il est temps de passer à des solutions plus simples et plus customer-friendly, qui deviennent par ailleurs un réel facteur clé de succès pour les marques, qui diminuent leur taux d’abandon panier et augmentent leur ROI.

Topics: Customer, ReachFive, SSO, Authentification

ReachFive, Editeur de solution CIAM

Inscrivez-vous pour recevoir nos articles dès leurs publications.

Inscrivez-vous !

Posts récents

Suivez-nous !