L’avenir de l’authentification : étude de cas sur le déploiement des clés d’accès conformément aux directives UX de l’Alliance FIDO
Les clés d'accès, qui constituent un moyen de connexion à la fois innovant, sécurisé et convivial, sont de plus en plus prises en charge par les sites Web. À mesure que les entreprises explorent différentes options de déploiement des clés d'accès, il est essentiel de donner la priorité à l'expérience utilisateur (UX) pour une adoption à grande échelle.
Dans cet article, nous examinons le déploiement des clés d'accès par GitHub sur les navigateurs Web de bureau et établissons le lien avec les directives UX de l'Alliance FIDO afin d'aider les autres sites Web à déployer efficacement les clés d'accès.
« L'intégration des clés d'accès par GitHub se distingue par un déploiement convivial et sécurisé », a déclaré Rew Islam, directeur de l'ingénierie des produits et de l'innovation chez Dashlane et actuel représentant de Dashlane au sein du conseil d'administration de l'Alliance FIDO. « Leur approche méticuleuse permet non seulement d'exploiter les signaux reçus de l'authentificateur, mais aussi de s'assurer que les utilisateurs sont guidés de manière transparente à chaque étape de leur parcours avec les clés d'accès. La méthode de GitHub sert de référence, démontrant comment une technologie de pointe peut être intégrée, en mettant l'accent sur l'expérience utilisateur et la sécurité. »
Directives UX de l'Alliance FIDO relatives aux clés d'accès
Le groupe de travail UX de l'Alliance FIDO, auquel Dashlane participe activement, s'est depuis longtemps positionné en faveur du renforcement de la sécurité et de l'amélioration de l'expérience utilisateur en matière d'authentification sans mot de passe. Les directives UX de l'Alliance FIDO visent à aider les développeurs et les concepteurs à créer des expériences utilisateur plus sûres et de meilleure qualité en matière d'authentification par clé d'accès sur leurs sites Web et leurs applications.
Les directives UX de l'Alliance FIDO en matière de création des clés d'accès et de connexion mettent l'accent sur l'accélération de la prise de décision lors de la création et de la mise en œuvre des clés d'accès et de nouveaux flux de connexion par les concepteurs et les développeurs. Plus l'UX est bonne, plus les gens seront susceptibles d'adopter les clés d'accès.
Nous allons étudier l'expérience utilisateur lors de la connexion à GitHub via des clés d'accès sur les navigateurs Web de bureau, en nous concentrant sur les quatre principales étapes de l'expérience utilisateur décrites dans les directives UX de l'Alliance FIDO, notamment :
- La création d'un nouveau compte avec une clé d'accès
- La création d'une clé d'accès et/ou d'un nouveau mot de passe lors de la récupération de compte
- La création, l'affichage et la gestion des clés d'accès dans les paramètres de compte
- La connexion avec une clé d'accès
Déploiement des clés d'accès par GitHub
En juillet 2023, GitHub a adopté les clés d'accès comme moyen d'améliorer la sécurité des comptes et de protéger les utilisateurs contre les risques associés aux mots de passe. Bien que les utilisateurs puissent toujours utiliser des mots de passe, il est clair, d'après le contenu éducatif créé par GitHub, que l'entreprise s'efforce de sensibiliser les nouveaux utilisateurs et de les aider à se familiariser avec les clés d'accès.
De plus, lorsqu'on observe le déploiement des clés d'accès par GitHub, il apparaît clairement que l'entreprise est déterminée à offrir aux utilisateurs un meilleur moyen de se connecter, à les aider à éviter le blocage de leurs comptes et à renforcer leur sécurité.
Comparaison entre le système de déploiement de GitHub et les directives UX de l'Alliance FIDO
GitHub a appliqué avec succès les 10 directives UX définies par l'Alliance FIDO.
Voyons maintenant comment GitHub a appliqué les directives ci-dessus.
- Directive UX de l'Alliance FIDO : invite à créer des clés d'accès en plus des tâches associées au compte.
L'invite de création des clés d'accès de GitHub est disponible dans les Paramètres du compte, dans la section Mot de passe et authentification, à côté des paramètres de mots de passe et de la double authentification, comme le montre cette capture d'écran.
Les utilisateurs qui oublient leur mot de passe sont accompagnés dans le processus de récupération de leur compte. Cette capture d'écran affiche les clés d'accès dans la section Alternatives aux mots de passe, pour aider les utilisateurs à découvrir et à configurer les clés d'accès comme alternative aux mots de passe.
Avec les clés d'accès, les utilisateurs n'ont plus à se préoccuper des mots de passe oubliés et du verrouillage de leur compte. Les clés d'accès permettent à un site Web et à votre appareil d'interagir de manière virtuelle, sans vous exposer à une tentative de phishing, sans que vous n'ayez besoin de recourir à la double authentification (2FA) et sans que vous n'ayez à vous souvenir et à saisir un mot de passe unique.
Sur l'écran suivant, l'utilisateur peut également configurer les clés d'accès en tant qu'option de double authentification. Le flux continue de créer une certaine familiarité grâce au terme « authentification sans mot de passe » utilisé dans l'en-tête. Cela renforce l'idée selon laquelle les clés d'accès peuvent être utilisées à la place des mots de passe ou en combinaison avec eux en tant que méthode de double authentification.
- Directive UX de l'Alliance FIDO : associer ce qui n'est pas familier (clés d'accès) à ce qui l'est.
De manière systématique, GitHub décrit les clés d'accès à la lumière de concepts connus en matière d'authentification sans mot passe : « les clés d'accès sont un remplacement des mots de passe qui valide votre identité par le biais du toucher, d'une reconnaissance faciale, d'un mot de passe ou d'un code PIN ». Ces références apparaissent sur de nombreuses captures d'écran de cet article.
- Directive UX de l'Alliance FIDO : utiliser des messages et des icônes de clé d'accès éprouvés avant et après les boîtes de dialogue du système.
GitHub utilise une messagerie claire avec l'option Ajouter une clé d'accès, ainsi qu'une iconographie de clé d'accès cohérente, comme on le voit sur la capture d'écran ci-dessous.
- Directive UX de l'Alliance FIDO : accorder la liberté et le choix en ce qui concerne les clés d'accès.
GitHub offre aux utilisateurs plusieurs choix en ce qui concerne les clés d'accès :
–Les utilisateurs créent leurs comptes sans clé d'accès. Ils peuvent en créer une à tout moment comme alternative à leur mot de passe.
–Les utilisateurs peuvent également choisir d'être invités plus tard ou de ne pas recevoir de nouveau l'invite à utiliser la clé d'accès.
–Les utilisateurs peuvent personnaliser les noms de leur clé d'accès pour plus de flexibilité.
- Directive UX de l'Alliance FIDO : respecter les principes d'accessibilité avant et après l'utilisation des clés d'accès.
GitHub respecte les normes d'accessibilité dans ses flux de clé d'accès et de configuration. Cela permet de maximiser l'adoption des clés d'accès et de les rendre accessibles à tous les utilisateurs.
- Directive UX de l'Alliance FIDO : utiliser une invite de clé d'accès de manière cohérente tout au long du parcours du client.
GitHub utilise un contenu et une iconographie cohérents tout au long du parcours du client. Les captures d'écran ci-dessous montrent deux invites différentes pour la même action, permettant aux utilisateurs de découvrir des clés d'accès et de faire le lien avec des mots de passe en utilisant les termes « connexion sans mot de passe » et « authentification sans mot de passe ».
- Directive UX de l'Alliance FIDO : fournir des informations utiles sur les clés d'accès.
Tout au long du flux, GitHub fournit aux utilisateurs diverses informations sur les clés d'accès.
–Une description des clés d'accès est affichée par défaut, expliquant ce que sont les clés d'accès, leurs avantages et comment les utiliser.
–GitHub fournit une explication claire de ce qui se passerait si les utilisateurs supprimaient une clé d'accès. La capture d'écran montre une fenêtre contextuelle demandant une confirmation lorsqu'un utilisateur souhaite supprimer une clé d'accès. Toutefois, si un utilisateur utilise un gestionnaire de mots de passe pour créer et enregistrer ses clés d'accès, cette dernière n'est pas automatiquement supprimée du gestionnaire de mots de passe. Dans cet exemple, il est important de noter que la clé d'accès sera supprimée de GitHub, et l'utilisateur ne pourra pas s'en servir lors de sa prochaine connexion.
- Directive UX de l'Alliance FIDO : utiliser les clés d’accès comme option principale dans les paramètres du compte.
Bien que GitHub continue d'utiliser les mots de passe comme identifiant principal, l'utilisateur peut créer une clé d'accès après s'être connecté. Ainsi, il pourra désormais faire des clés d'accès sa principale méthode de connexion.
Dans ses paramètres de compte, l'utilisateur peut voir une section Clés d'accès semblable à la section Mots de passe à laquelle il est habitué.
- Directive UX de l'Alliance FIDO : afficher des « cartes de clés d'accès » avec des contenus significatifs pour donner un sens aux clés d'accès.
GitHub fournit toutes les informations dont un utilisateur peut avoir besoin au sujet de sa clé d'accès : il sait quand elle a été créée, quand elle a été utilisée pour la dernière fois et si la clé a été utilisée sur le navigateur qu'il utilise. GitHub utilise également une étiquette synchronisée pour indiquer à l'utilisateur qu'un gestionnaire d'identifiants rend la clé d'accès disponible sur d'autres appareils.
- Directive UX de l'Alliance FIDO : planifier votre expérience utilisateur en fonction de vos besoins uniques en matière de sécurité et de vos besoins professionnels.
La double authentification est un paramètre de sécurité et d'authentification important pour GitHub. Lorsqu'une clé d'accès est ajoutée, elle devient, par défaut, la méthode de double authentification. Cette capture d'écran montre qu'elle est visible dans les paramètres, indiquant que les clés d'accès sont l'option de double authentification par défaut.
En résumé, le déploiement des clés d'accès par GitHub est facile à utiliser et s'aligne étroitement sur les directives UX de l'Alliance FIDO. En accordant la priorité à l'utilisabilité et à l'accessibilité, GitHub a ouvert la voie à l'adoption généralisée des clés d'accès en tant que forme d'authentification sécurisée.
Consultez notre répertoire communautaire de sites Web et de services qui utilisent des clés d'accès ici.
Inscrivez-vous pour connaître toute l'actualité de Dashlane