12 conseils d'experts pour rendre l'authentification sûre et conviviale

1. L’avenir de l’authentification est sans mot de passe

Les mots de passe sont une relique du passé. Ils sont peu sûrs, faciles à oublier et constituent un cauchemar pour l’utilisateur. Si vous obligez encore vos clients ou vos employés à créer des mots de passe complexes, vous les ennuyez et vous aggravez votre sécurité.

L’avenir appartient à l’authentification sans mot de passe. Il s’agit des clés d’accès, d’OAuth, des liens magiques et de l’authentification multifactorielle (AMF). Ces méthodes éliminent la lassitude des mots de passe tout en améliorant considérablement la sécurité. Une clé d’authentification permet aux utilisateurs de s’authentifier à l’aide de données biométriques ou d’un dispositif de confiance. OAuth leur permet de se connecter à l’aide d’un service auquel ils font déjà confiance – Google, Apple, Microsoft. Les liens magiques leur permettent de se connecter en un seul clic à partir de leur courrier électronique. MFA assure une couche de protection supplémentaire lorsque cela est nécessaire.

Les utilisateurs ne veulent pas se souvenir des mots de passe. Vous ne voulez pas les stocker. Cessez donc d’imposer des méthodes de connexion dépassées. La meilleure sécurité est celle que les utilisateurs utilisent réellement.

2. Les Passkeys sont la méthode d’authentification la plus intelligente et la plus simple.

Si vous avez déjà utilisé Face ID pour déverrouiller votre téléphone, vous comprenez déjà pourquoi les passkeys sont l’avenir. Ils remplacent les mots de passe par une alternative transparente et sécurisée que les utilisateurs apprécient.

Les Passkeys utilisent le cryptage par clé publique/privée, ce qui signifie que même si des pirates pénètrent dans votre système, il n’y a pas de mot de passe à voler. Elles fonctionnent avec des données biométriques – empreintes digitales, balayage du visage – ou avec un dispositif matériel. Du point de vue de la sécurité, ils sont presque à l’épreuve des balles. Et du point de vue de l’utilisateur, c’est une évidence.

La mise en œuvre est simple. Les principaux fournisseurs tels qu’Apple, Google et Microsoft prennent en charge les passkeys. Pour les développeurs, il suffit d’ajouter un composant web. Pour les utilisateurs, c’est un accès instantané sans les inconvénients des mots de passe. Plus de sécurité, moins de frictions : c’est exactement ce que devrait être l’authentification moderne.

3. OAuth est un raccourci pour des connexions transparentes

Si vous avez déjà cliqué sur « Se connecter avec Google », vous avez utilisé OAuth. Il permet aux utilisateurs de s’authentifier auprès de comptes auxquels ils font déjà confiance, ce qui réduit les difficultés de connexion et évite d’avoir à gérer un énième mot de passe.

Tout le monde y gagne. Les utilisateurs n’ont pas à créer de nouveaux identifiants. Votre plateforme n’a pas à stocker des données de connexion sensibles. La sécurité s’améliore car les fournisseurs de services OAuth, tels que Google et Apple, investissent des milliards dans la protection des comptes.

En pratique, la plupart de vos utilisateurs disposent déjà d’un compte auprès d’un grand fournisseur. Si vous ne proposez pas OAuth, vous rendez la connexion plus difficile qu’elle ne doit l’être. Et à une époque où chaque seconde de friction entre utilisateurs est synonyme de perte de revenus, c’est une erreur.

4. Les liens magiques, une alternative sans mot de passe qui fonctionne tout simplement

Une autre option solide ? Les liens magiques. Au lieu de demander aux utilisateurs de se souvenir de leurs mots de passe, vous leur envoyez un lien sécurisé par e-mail ou par SMS. Un clic et ils sont prêts.

L’avantage évident ? Aucun mot de passe à retenir, à réinitialiser ou à voler. Chaque lien est temporaire et lié à une session spécifique, ce qui le rend beaucoup plus sûr que les identifiants traditionnels. L’inconvénient ? Les utilisateurs doivent quitter votre site pour consulter leur courrier électronique. Mais comparé à l’alternative – des clients frustrés qui oublient leurs mots de passe – c’est un compromis qui vaut la peine d’être fait.

De nombreuses entreprises, en particulier dans le domaine de la fintech et SaaS, utilisent des liens magiques parce qu’ils sont simples et efficaces. Si vous souhaitez rendre l’authentification indolore tout en maintenant la sécurité, c’est une option qui mérite d’être explorée.

5. L’authentification multifactorielle est votre dernière ligne de défense

Si votre plateforme exige encore des mots de passe (ce qui ne devrait pas être le cas), vous avez besoin d’une authentification multifactorielle (MFA). Sans cette authentification, vous vous exposez à des violations.

L’AMF fonctionne en exigeant des utilisateurs qu’ils vérifient leur identité de plusieurs manières. Le meilleur ordre de préférence :

Applications d’authentification (comme Google Authenticator ou Authy) – Ces applications génèrent des mots de passe à usage unique (OTP) basés sur le temps qui ne sont pas transmis, ce qui en fait l’option la plus sûre.
OTP par e-mail – Moins sûr qu’une application, mais c’est quand même un bon choix.
OTP par SMS – Pas terrible, mais c’est mieux que rien. Les SMS sont vulnérables à l’interception et à l’échange de cartes SIM, alors évitez-les si possible.

La réalité ? Permettre aux utilisateurs de se connecter avec un simple mot de passe est imprudent. Les mots de passe sont volés, réutilisés ou devinés. L’ajout du MFA signifie qu’un seul identifiant volé n’est pas suffisant pour s’introduire dans l’entreprise. Et tant que vous rendez le MFA facile à utiliser (via des notifications push ou des gestionnaires de mots de passe automatisés), les utilisateurs n’y résisteront pas.

6. Permettre aux utilisateurs de voir leurs mots de passe

C’est un petit détail, mais il a son importance : Laissez toujours les utilisateurs voir leur mot de passe pendant qu’ils le tapent.

Nous sommes tous passés par là : nous avons mal tapé notre mot de passe et nous nous sommes retrouvés bloqués parce que nous ne pouvions pas voir ce que nous avions saisi. Masquer les mots de passe par défaut est une bonne chose, mais les utilisateurs devraient avoir la possibilité de les révéler. C’est un moyen simple de réduire les échecs de connexion et la frustration.

Réfléchissez : qu’est-ce qui est le plus sûr : un utilisateur qui saisit le bon mot de passe en toute confiance du premier coup ou quelqu’un qui devine à l’aveuglette parce qu’il ne peut pas voir ce qu’il tape ? Donnez-lui la possibilité de le faire. Il s’agit d’une petite modification de l’interface utilisateur qui améliore à la fois la sécurité et la convivialité.

7. Ne stockez jamais les mots de passe des utilisateurs

Cela devrait aller de soi, mais c’est ainsi : Ne stockez jamais les mots de passe des utilisateurs. Pas en clair. Ni cryptés. Ne les stockez pas du tout.

Utilisez plutôt des mots de passe salés et hachés à l’aide d’un algorithme fort comme bcrypt, Argon2 ou PBKDF2. Pourquoi ? En effet, si (ou quand) votre base de données fait l’objet d’une intrusion, stocker les mots de passe revient à donner aux pirates les clés des comptes de vos utilisateurs. Le salage et le hachage garantissent que, même en cas de violation, les mots de passe restent illisibles.

Mieux encore, évitez complètement les mots de passe en utilisant des passkeys, OAuth ou des liens magiques. Moins vous stockez de données d’identification des utilisateurs, plus votre surface d’attaque est réduite. Et plus votre surface d’attaque est réduite, moins vous aurez de problèmes de sécurité.

« Il y a une règle simple à suivre : Si vous envoyez à un utilisateur son mot de passe par courrier électronique après qu’il l’a oublié, votre système est défectueux. Réparez-le avant que quelqu’un ne l’exploite.

8. Cessez d’exiger des mots de passe « complexes

Pendant des années, on nous a dit qu’un mot de passe « fort » devait comporter des lettres majuscules, des chiffres et des caractères spéciaux. Il s’avère que cela n’a aucun sens.

Obliger les utilisateurs à créer des mots de passe trop complexes fait plus de mal que de bien. Ils finissent par utiliser des modèles faibles et prévisibles (« P@ssw0rd ! ») ou par écrire leurs mots de passe pour s’en souvenir. La véritable clé de la sécurité des mots de passe ? La longueur, pas la complexité.

Une phrase de passe de plus de 12 caractères (par exemple, « CorrectHorseBatteryStaple ») est exponentiellement plus difficile à décrypter qu’un message court et complexe. Si vous devez utiliser des mots de passe, imposez une longueur minimale et non des règles de complexité arbitraires.

Mieux encore, supprimez complètement les mots de passe et optez pour les clés d’accès ou OAuth. Mais si vous devez autoriser les mots de passe, laissez les utilisateurs en créer un dont ils se souviennent.

9. Veillez à ce que les mots de passe à usage unique (OTP) soient courts et simples.

Si votre système utilise des mots de passe à usage unique (OTP) pour l’authentification, ils doivent être courts – six chiffres au maximum. Tout ce qui est plus long est inutile et constitue un cauchemar pour l’utilisateur.

Les utilisateurs doivent lire, mémoriser et taper ces codes. Les allonger augmente les risques d’échec. Six chiffres offrent suffisamment de sécurité tout en restant simples. Si votre système en exige davantage, vous ne faites qu’ajouter de la friction sans raison.

De même, si vous le pouvez, évitez les OTP par SMS. Ils sont vulnérables à l’interception et aux attaques par substitution de carte SIM. Les applications d’authentification ou les OTP par e-mail sont des options plus sûres.

10. Les questions de sécurité sont inutiles

« Comment rendre l’authentification encore pire ? Quelqu’un a répondu un jour : « Utilisons des questions de sécurité ».

Les questions de sécurité sont une mauvaise idée. Les réponses sont soit

Trop facile à deviner (le nom de jeune fille de votre mère ? Le nom de votre premier animal de compagnie ? La moitié de ces réponses se trouvent sur Facebook).
Trop difficile à retenir (ai-je dit que mon film préféré était « Inception » ou « Interstellar » ?).

Le pire ? Si les utilisateurs oublient leurs réponses, ils sont exclus. Si les attaquants les devinent, ils sont dans la place. Les questions de sécurité n’apportent rien d’autre qu’une frustration inutile.

« N’utilisez pas de questions de sécurité. Si vous avez besoin d’une vérification d’identité, utilisez la vérification par courriel, la biométrie ou une application d’authentification – tout sauf des questions de sécurité. »

11. Ne verrouillez pas les utilisateurs en cas de trop grand nombre d’échecs de connexion.

Rien n’est plus frustrant pour un utilisateur que d’être exclu de son propre compte après quelques tentatives de connexion infructueuses. Les gens saisissent mal leur mot de passe – cela arrive.

Au lieu de verrouiller les comptes, utilisez la limitation de débit pour ralentir les attaques par force brute sans punir les utilisateurs réels. Une approche simple :

Autorisez plusieurs tentatives, mais ajoutez un léger délai après plusieurs échecs (par exemple, 5 secondes après 3 échecs).
Utilisez des CAPTCHA pour bloquer les robots sans gêner les utilisateurs légitimes.
Ne jamais « geler » un compte de façon permanente – obliger les utilisateurs à passer par un long processus d’assistance ne fait que les inciter à détester votre plateforme.

La sécurité ne doit pas se faire au détriment de l’expérience utilisateur. Si quelqu’un oublie son mot de passe, laissez-le le réinitialiser facilement. Ne lui faites pas regretter d’avoir utilisé votre service.

12. Ne plus obliger les utilisateurs à modifier régulièrement leurs mots de passe

Obliger les utilisateurs à changer de mot de passe tous les 60 ou 90 jours ? C’est du théâtre de la sécurité. Cela ne fait qu’affaiblir les mots de passe.

Lorsque les gens sont contraints de changer régulièrement de mot de passe, ils n’en créent pas de plus fort. Ils se contentent de modifier l’ancien (« Mot de passe123 » devient « Mot de passe124 »), ce qui permet aux pirates de le deviner facilement.

Un mot de passe ne doit être modifié que s’il existe des preuves d’une violation. Sinon, laissez les utilisateurs conserver celui qu’ils ont choisi.

Mieux encore ? N’utilisez plus du tout de mots de passe. Optez pour des clés d’accès, OAuth ou des liens magiques. Si vous devez autoriser les mots de passe, laissez les utilisateurs en créer de solides et mémorables, et laissez-les les conserver.

Dernières réflexions

Une mauvaise conception de l’authentification nuit à tout le monde, aux utilisateurs, aux équipes de sécurité et à vos résultats. Les meilleurs systèmes protègent les utilisateurs sans les frustrer.

Les clés de passage, OAuth et les liens magiques permettent de se connecter en toute transparence.
L’authentification multifactorielle (MFA) ajoute une couche supplémentaire de sécurité sans être intrusive.
Les mots de passe longs et faciles à retenir sont préférables aux mots de passe courts et complexes.
L’abandon de pratiques dépassées (comme les questions de sécurité et les changements forcés de mot de passe) facilite la vie de tout le monde.

Une bonne sécurité doit être invisible. Lorsque l’authentification est bien faite, les utilisateurs n’y pensent même pas. Et c’est exactement ce qu’il faut faire.

Tim Boesen

février 6, 2025

11 Min

Recherche et conception produit
Comment créer un site web performant du début à la fin
Fév 21, 2025
20 min
Technologies et innovation
La recherche en profondeur vient d’être améliorée grâce au dernier outil d’IA d’OpenAI
Fév 21, 2025
10 min
Technologies et innovation
Les entreprises sous pression pour renforcer l’authentification des courriels
Fév 21, 2025
6 min

12 conseils d’experts pour rendre l’authentification sûre et conviviale

1. L’avenir de l’authentification est sans mot de passe

2. Les Passkeys sont la méthode d’authentification la plus intelligente et la plus simple.

3. OAuth est un raccourci pour des connexions transparentes

4. Les liens magiques, une alternative sans mot de passe qui fonctionne tout simplement

5. L’authentification multifactorielle est votre dernière ligne de défense

6. Permettre aux utilisateurs de voir leurs mots de passe

7. Ne stockez jamais les mots de passe des utilisateurs

8. Cessez d’exiger des mots de passe « complexes

9. Veillez à ce que les mots de passe à usage unique (OTP) soient courts et simples.

10. Les questions de sécurité sont inutiles

11. Ne verrouillez pas les utilisateurs en cas de trop grand nombre d’échecs de connexion.

12. Ne plus obliger les utilisateurs à modifier régulièrement leurs mots de passe

Dernières réflexions

Comment créer un site web performant du début à la fin

La recherche en profondeur vient d’être améliorée grâce au dernier outil d’IA d’OpenAI

Les entreprises sous pression pour renforcer l’authentification des courriels

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Ce qu’il adviendra du marché de l’emploi UX en 2024

Tests alpha et tests bêta : Quelles sont les principales différences ?

L’intégration de l’IA est-elle en train de détruire les relations au travail ?

13 grandes tendances technologiques à attendre en 2024

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps