La fin des mots de passe pour les consommateurs

Back
23 avril 2019
Dustin Maxey
Director of Product Marketing

Vos consommateurs constituent un groupe inconstant. Ils représentent aussi ce qu’il y a de plus important pour votre entreprise puisque, sans eux, elle n’existerait pas. Il n’est donc pas étonnant que si vous recherchez sur Google « expérience client optimale » ou des termes similaires, vous obtiendrez divers résultats, provenant souvent de fournisseurs de logiciels vous indiquant pourquoi leur propre vision de l’expérience client est celle dont vous ne pouvez pas vous passer. En réalité, vous auriez du mal à trouver un fournisseur de logiciels, même s’il s’intéresse peu aux interactions avec l’utilisateur final, qui ne parlerait pas de l’importance de l’expérience client.

 

En gardant cela en tête, vous pourriez vous demander comment l’identification et le processus de connexion constituent des points cruciaux de l’expérience de vos clients :

L'Identité client—la partie clé incluant l’identification et l’authentification de l’utilisateur—est la porte d’entrée de votre entreprise. C’est par celle-ci que le client se fait une première impression sur vous et de nouvelles impressions à chaque fois qu’il interagit avec vos propriétés numériques. Si vous faites une erreur, il est probable qu’il ne connaisse jamais les extraordinaires produits, services et expériences que vous avez conçus pour lui.

Dans la plupart des cas, l’expérience utilisateur suit plusieurs principes directionnels : Moins de clics, des interactions naturelles, pas d’éléments de friction et les « like ». Il serait assez facile pour vos ingénieurs de créer une expérience ne requérant aucune connexion. Des boîtes de l’expérience utilisateur seraient plus faciles à vérifier et les utilisateurs pourraient aisément accéder directement à ce qu’ils cherchent. Mais comme vous l’aurez deviné, cette approche présente quelques problèmes. Tout d’abord, en termes de sécurité. Vous avez souvent besoin de stocker des informations personnelles sur vos clients. Il peut s’agir des numéros de cartes bancaires, de sécurité sociale ou d’autres informations personnelles permettant d’identifier vos clients. Ensuite, en termes de personnalisation. La capacité à les connaître comme s’il s’agissait d’amis proches est au cœur des bonnes expériences client. Cela implique d’être capable de se souvenir d’éléments à leur sujet, comme leurs préférences.

La clé pour répondre à ces deux questions est votre capacité à identifier le client. Hélas, cela implique qu’il s’inscrive et qu’il se connecte. Votre question devient alors : Comment puis-je identifier mes utilisateurs avec un minimum d’éléments de friction possible ?


Les consommateurs ne peuvent-ils pas simplement se souvenir d’un mot de passe ?
Ah, les mots de passe, la véritable et bonne méthode pour identifier les gens depuis l’aube de l’Internet. Cela semble si simple. Faîtes venir vos utilisateurs avec un mot ou une phrase qu’eux-seuls connaissent, saisissent avec d’autres informations qui permettent de les identifier—généralement un nom d’utilisateur et une adresse électronique—et ils sont connectés. Ils peuvent accéder à leurs préférences, à leurs numéros de cartes bancaires et leurs expériences personnalisées.

Si seulement c’était aussi simple. Vous voyez, les mots de passe présentent un certain nombre d’inconvénients en termes de sécurité et d’expérience de l’utilisateur.

Concernant la sécurité, les politiques relatives aux mots de passe pourraient être très indulgentes et permettre à un client de choisir « aaa » comme mot de passe. Toutefois, c’est facile à deviner et n’importe quelle attaque brutale de mot de passe pourrait le déchiffrer rapidement. La solution semblerait être de rendre les politiques relatives aux mots de passe aussi fortes que possible, en exigeant la présence de quelques symboles, de majuscules, et interdisant d’inclure dans le mot de passe des éléments semblables à leur nom d’utilisateur ou identiques à leurs cinq derniers mots de passe. Vous disposez désormais d’une procédure de connexion sécurisée.

Bien sûr, cela peut impliquer que les gens créent des mots de passe dont ils ne se souviendront jamais. Ou pire, que les gens ayant des mots de passe très surs ne satisfassent pas vos critères :



Ce mot de passe me semble plutôt sûr. Il contient 23 caractères, plusieurs symboles différents, des chiffres et des lettres, et il est différent des 50 mots de passe précédents. Pourtant, il n’est pas considéré comme étant sûr car il inclut deux caractères séquentiels. Le fait est qu’il est difficile de trouver la bonne politique relative aux mots de passe.

Même si vous parvenez à trouver la bonne politique pour les mots de passe, celle-ci n’est pas invincible. Il suffit qu’un client utilise le même nom d’utilisateur et le même mot de passe pour un autre site moins sécurisé, ou qu’il soit victime d’une escroquerie par phishing. Et tout le travail que vous avez fourni pour trouver une politique de mot de passe équilibrée et sécurisée vole en éclat.

 

Qu’en est-il des connexions par le biais des réseaux sociaux ?
Se connecter par le biais des réseaux sociaux est très pratique, et tant que des protocoles tels que OpenID Connect et OAuthsont utilisés, cela est plutôt sécurisé. Mais, cela ne l’est pas pour tout le monde. Si vous comptez sur une connexion par le biais d’un réseau social, il y a tout de même un mot de passe au bout du fil puisque les fournisseurs de réseaux sociaux exigent un mot de passe. Utiliser ce type de connexion implique d’ère sûr que le mot de passe n’a pas été compromis par les mêmes méthodes que celles décrites ci-dessus.

L’autre considération est le fait que tout ne monde n’utilise pas les réseaux sociaux, donc vous ne pouvez pas vous appuyer uniquement sur cette solution. C’est pratique, et dans la plupart des cas, je pense que cette option devrait être proposée à vos clients, mais vous devrez quand même réfléchir aux modes de connexion et d’inscription traditionnels.


L’authentification multi-facteurs (ou MFA) à la rescousse !
Que vous l’appeliez multi-facteurs, double authentification ou vérification en deux étapes, il s’agit de l’une des manières les plus simples pour accroître la sécurité lorsque vous vous connectez. Et les consommateurs commencent à en faire une priorité. Cette semaine, je suis tombé sur des posts que des amis travaillant sur l’absence d’identité ont récemment mis sur Instagram et qui parlaient de l’authentification multi-facteurs.



Ne me croyez pas sur parole. Essayez par vous-même. Demandez à vos amis et aux membres de votre famille s’ils connaissent l’authentification multi-facteurs. Demandez-leur ensuite s’ils savent ce que signifie OAuth (ou n’importe quel autre terme lié aux identifiants). Je parie que l’authentification multi-facteurs l’emportera de manière écrasante.

Malgré sa sécurité accrue, l’authentification multi-facteurs présente quelques bémols que vous devriez connaître. Tout d’abord, l’authentification multi-facteurs par SMS (messages texte) et courriel n’est pas l’option la plus sûre. Les mots de passe à usage unique envoyés par SMS peuvent être assez facilement usurpés par des méthodes telles que l’échange de SIM. Les mots de passe à usage unique envoyés par courriel conduisent au même nom d’utilisateur et au même mot de passe qui pourraient être compromis par phishing, par des attaques brutales ou par la réutilisation du mot de passe. Le National Institute of Standards and Technology (NIST) et d’autres encore ont reconnu ces failles.

En outre, si vous utilisez l’interface utilisateur d’un smartphone de mauvaise qualité, ou si vous ouvrez un autre onglet sur votre messagerie, cliquez sur un lien qui ouvre un troisième onglet menant au site sur lequel vous êtes déjà, l’expérience utilisateur n’est pas la meilleure qui soit.


Il existe une meilleure manière de réaliser une authentification multi-facteurs
Il existe une autre manière de mettre en place une authentification multi-facteurs qui soit à la fois plus sure et, si elle est faite correctement, plus pratique : en utilisant les notifications sur un appareil mobile. Contrairement aux numéros de téléphone utilisés pour l’envoi de SMS, l’utilisation des notifications vous permet de vous appuyer sur les éléments secrets de l’appareil qui ne se déplacent pas d’un téléphone à l’autre et qui sont bien plus difficiles à usurper. Malheureusement, si vous demandez à vos utilisateurs de télécharger une application mobile tierce exprès pour l’authentification multifacteur, le côté pratique en sera très affecté. La plupart d’entre eux ne le feront pas.

Au lieu de cela, il existe des solutions qui vous permettent d’ avoir votre propre application mobile pour l’authentification multi-facteurs.


Imaginez ces incroyables expériences clients
Fermez les yeux pendant une seconde et imaginez ces incroyables expériences d’identification des clients :


Scénario 1
Votre client entre pour vous acheter quelque chose en ligne. Il réalise peut-être un grand achat d’une somme inhabituelle. Il reçoit une notification de votre appli lui indiquant quelque chose comme « Approuver cet achat de $5 642,45 chez X ? » Puis, après avoir été authentifié par son empreinte ou le scan de son visage, ce client peut approuver l’achat. Aucun onglet supplémentaire, aucun mot de passe à usage unique à copier, mais un appareil de confiance plutôt qu’un SMS ou un courriel ; vous pouvez être tranquille en sachant que c’est en réalité votre client qui a fait un achat important.


Scénario 2
Que se passe-t-il lorsque quelqu’un appelle le numéro de votre service clientèle ? Les agents de votre service clientèle doivent les identifier. En général, ils posent des questions telles que « quel est le nom de jeune fille de votre mère ? », dont la réponse peut être assez facilement trouvée en faisant quelques recherches sur Google. Au lieu de cela, qu’en serait-il si les agents de votre service clientèle pouvaient cliquer sur une touche pour qu’une appli s’allume sur le téléphone du consommateur et indiquant « un agent du service clientèle essaye de vérifier votre identité » et que ce consommateur pouvait approuver ou refuser cette vérification ?

 

Scénario 3
Pensez à la réinitialisation du mot de passe tant redoutée ; c’est la procédure que les consommateurs détestent le plus. Imaginons qu’ils pourraient cliquer sur une touche et au lieu d’attendre l’arrivée d’un courriel, d’ouvrir de nouveaux liens ou de suivre un long processus, un message de votre appli s’affichait sur leur téléphone ou sur leur montre connectée indiquant « Approuver la réinitialisation du mot de passe ? » Une fois qu’ils auraient donné leur accord en apposant leur empreinte ou en scannant leur visage, une fenêtre s’ouvrirait sur l’écran pour qu’ils puissent taper leur nouveau mot de passe. Il s’agit de la réinitialisation du mot de passe en un clic. Je vous mets au défi d’essayer de réinitialiser votre mot de passe sur n’importe quel site et de compter les clics. Il y en aura certainement plus d’un.


Mettre fin au mot de passe et au nom d’utilisateur
Vous vous demandez peut-être, si vous avez une méthode d’authentification multi-facteurs parfaitement sure et pratique, pourquoi avons-nous besoin de mots de passe ? La réponse courte est que vous n’en avez pas besoin. Évidemment, tout facteur d’authentification supplémentaire ajoutera de la sécurité à l’expérience de connexion, mais si le second facteur que vous utilisez (tel que les notifications sur votre appareil mobile) est plus sûr, faire de celui-ci le premier facteur est une alternative légitime.

Des caractéristiques telles que l’authentification par code QR peuvent faire passer l’authentification sans mot de passe à un tout autre niveau en supprimant le besoin que les clients ont de se souvenir du nom d’utilisateur qu’ils ont utilisé pour s’inscrire à vos services. Regardez cette vidéo qui montre combien l’authentification par code QR peut être cool et pratique.



La porte d’entrée de votre entreprise
La connexion de l’utilisateur est la porte d’entrée de votre entreprise. Si vous ne la faites pas bien, vos utilisateurs passeront à côté de toutes les expériences qui se cachent derrière (et vous passerez à côté de bénéfices en termes de revenus). Il existe là, des expériences vraiment extraordinaires qui peuvent être proposées aux utilisateurs lorsqu’ils s’inscrivent et qu’ils se connectent. Si vous en profitez, vous pourrez gagner en compétitivité, accroître la sécurité, et faire une bonne première impression, encore et encore, auprès de vos clients. C’est la raison pour laquelle la question de l’identification est si importante en matière d’expérience client.

Découvrez d’autres expériences extraordinaires pouvant vous être fournies en ajoutant l’authentification multi-facteurs à votre propre appli mobile.