Parcours utilisateur des clés d'accès

Les clés d'accès sont une nouvelle technologie dans un monde habitué aux mots de passe. Si vous vous concentrez sur la création d'une excellente expérience utilisateur (UX), l'ajout de clés d'accès comme option d'authentification facilitera et sécurisera la vie numérique de vos utilisateurs. Les bonnes pratiques concernant les clés d'accès évoluent. Suivre les conseils pour les parcours utilisateur courants accélérera votre processus de développement et permettra à vos utilisateurs d'utiliser les clés d'accès avec succès.

Cet article présente des recommandations pour les parcours utilisateur suivants :

  • Créer des clés d'accès
  • Créer des comptes avec des clés d'accès
  • Se connecter avec des clés d'accès
  • Gérer les clés d'accès

Ces recommandations sont basées sur la recherche et les conseils de l'alliance FIDO en matière d'UX, ainsi que sur les enseignements de l'équipe Google chargée de l'expérience utilisateur.

Toutes les recommandations sont illustrées à l'aide de l'exemple de Trailblazer, un site de remise en forme fictif.

En plus de suivre les bonnes pratiques, vous devez également tester l'expérience utilisateur de manière précoce et fréquente, si possible. Cela vous aidera à vous assurer que votre implémentation du système de clés d'accès est intuitive et répond aux besoins de vos utilisateurs.

Créer des clés d'accès

Pour vous assurer que vos utilisateurs sont dans le bon état d'esprit pour créer une clé d'accès, invitez-les à le faire en même temps que les tâches liées à leur compte. Il est recommandé d'inclure une option permettant de créer des clés d'accès dans les quatre parcours utilisateur clés suivants :

  • Lors de la connexion.
  • Dans la section "Sécurité" des paramètres du compte.
  • Après la récupération du compte.
  • Après la réautorisation.

Se connecter

Le processus de connexion est une excellente occasion de présenter les clés d'accès, car les utilisateurs sont déjà concentrés sur la sécurité et l'authentification à ce stade de leur parcours.

L'introduction des clés d'accès lors de la phase de connexion vous permet de préparer les utilisateurs à leurs futurs engagements avec votre service. Ce timing correspond également à un niveau de confiance élevé quant à l'identité de l'utilisateur, ce qui améliore la sécurité globale et l'expérience utilisateur de votre plate-forme.

Un parcours utilisateur de qualité peut consister à authentifier l'utilisateur comme d'habitude, à lui indiquer qu'il peut créer une clé d'accès, à déclencher la boîte de dialogue de l'OS pour la création de la clé d'accès, puis à lui confirmer que la clé d'accès a bien été créée. Laissez ensuite l'utilisateur poursuivre à son rythme.

Capture d'écran de la page de connexion Trailblazer avec les champs de saisie de l'adresse e-mail et du mot de passe remplis.
L'utilisateur saisit son nom d'utilisateur et son mot de passe.


Capture d'écran d'une page Trailblazer après la connexion. Une invite s'affiche : "Commencer à utiliser des clés d'accès".
Une fois la connexion établie, l'utilisateur est invité à commencer à utiliser des clés d'accès pour son compte.


Capture d'écran d'une page Trailblazer après la création d'une clé d'accès.
Une fois la clé d'accès créée, un message de confirmation s'affiche.

Section "Sécurité" des paramètres du compte

Il est logique et contextuellement approprié d'intégrer les options de clé d'accès dans les paramètres de sécurité du compte d'un utilisateur. Cela permet aux utilisateurs de gérer et de mettre à jour facilement leurs clés d'accès dans le cadre de leur configuration de sécurité globale. C'est aussi le moment idéal pour demander à un utilisateur des informations de récupération pour son compte, comme un numéro de téléphone ou une adresse e-mail.

Capture d'écran de la page des paramètres Trailblazer. L'onglet "Paramètres" est actif et les paramètres des clés d'accès sont affichés.
La page des paramètres des clés d'accès liste toutes les clés d'accès disponibles pour un compte et les options permettant d'en créer d'autres.

Récupération

La récupération de compte est une autre excellente occasion d'encourager un utilisateur à créer une clé d'accès.

La récupération d'un compte n'est jamais facile. Dans ces moments-là, l'importance de la sécurité du compte est probablement au premier plan. Une fois qu'il est de retour, vous pouvez l'aider à se préparer pour l'avenir en créant une clé d'accès pour ses prochaines connexions.

Cela permet d'améliorer la sécurité et de proposer à l'utilisateur une expérience fluide et efficace lors de ses futures interactions.

Capture d'écran d'une page Trailblazer avec une invite pour lancer la procédure de récupération de compte.
Invite proposant aux utilisateurs une procédure de récupération de compte par e-mail ou par téléphone.


Capture d'écran d'une page Trailblazer avec une invite "Bienvenue" et des informations sur les clés d'accès.
Une fois que l'utilisateur s'est reconnecté à son compte, invitez-le à créer une clé d'accès.

Nouvelle autorisation

Il est parfois nécessaire de demander à un utilisateur de se reconnecter ou de relever un défi avant qu'il puisse effectuer des actions sensibles, comme envoyer de l'argent ou modifier des informations personnelles. Une fois qu'un utilisateur a validé son identité, c'est le moment idéal pour l'encourager à créer une clé d'accès.

Cette opportunité tire parti de la sensibilisation accrue des utilisateurs à la sécurité, mais promet également un processus de réauthentification plus pratique lors des futures interactions. Cette approche proactive renforce la sécurité globale du compte tout en offrant une expérience conviviale.

Annuler la création d'une clé d'accès

Informez clairement l'utilisateur si la création de la clé d'accès a échoué. Envisagez d'implémenter une fonctionnalité permettant de recueillir les commentaires des utilisateurs pour comprendre les problèmes potentiels (cela peut se faire dans le produit, ou même par e-mail ou par un autre moyen).

De plus, indiquez à l'utilisateur comment réessayer de créer une clé d'accès ou comment en créer une nouvelle ultérieurement, par exemple à partir des paramètres de sécurité. Cette approche garantit que même si un utilisateur a annulé intentionnellement ou non la création de la clé d'accès, il peut réessayer.

Créer des comptes avec des clés d'accès

Lorsque vous créez un compte avec une clé d'accès, il peut être utile de rediriger l'utilisateur vers une page dédiée où il peut saisir à la fois un nom à afficher et un nom d'utilisateur unique. Une page dédiée peut éliminer les distractions et vous aider à vous concentrer sur l'objectif principal. Ensuite, créez la clé d'accès.

Si un utilisateur crée un compte avec une clé d'accès, il est important d'établir une méthode de récupération pour son compte. Il peut s'agir d'un numéro de téléphone, d'une adresse e-mail, d'une connexion via un réseau social (comme Se connecter avec Google) ou d'une autre option qui vous convient. La meilleure option peut varier en fonction des données démographiques et des préférences spécifiques de votre base d'utilisateurs. En fonction des exigences de sécurité nécessaires pour votre application, vous pouvez également effectuer une validation de l'identité lors de la création d'un compte.

Cette méthode de sauvegarde leur permettra de récupérer leur compte s'ils perdent l'accès à leur clé d'accès ou s'ils se connectent sur un appareil où les clés d'accès ne sont pas encore disponibles. Cela permet de s'assurer que les utilisateurs peuvent toujours accéder à leurs comptes.

Capture d'écran d'une page Trailblazer pour créer un compte.
Page de création de compte sur le site Trailblazer.

Se connecter avec des clés d'accès

Les clés d'accès offrent des options de connexion flexibles : saisissez votre nom d'utilisateur ou sélectionnez une clé d'accès pour votre domaine dans une liste. Pour un accès rapide et sans erreur, essayez la fonctionnalité WebAuthn qui présente une liste de clés d'accès pour un domaine donné. Elle affiche directement les clés d'accès, ce qui réduit le temps passé et la nécessité de saisir du texte.

Concevoir la page de connexion

Pour concevoir une page de connexion efficace, vous devez mettre l'accent sur la vitesse, la facilité d'utilisation et la simplicité.

Il peut être utile d'utiliser la fonctionnalité de saisie automatique des navigateurs Web modernes pour proposer des clés d'accès aux utilisateurs ou de s'intégrer en profondeur à l'API Credential Manager afin que la clé d'accès soit proposée le plus tôt possible dans le parcours.

Proposer plusieurs options de connexion, comme des champs pour le nom d'utilisateur et le mot de passe, ainsi que diverses connexions sociales, peut offrir de la flexibilité à vos utilisateurs, mais aussi les submerger. Hiérarchisez les options et présentez celles qui sont les plus utiles à votre base d'utilisateurs. N'oubliez pas que même si les clés d'accès sont moins utilisées pour le moment, elles améliorent la sécurité et l'expérience utilisateur, et de plus en plus d'utilisateurs les adoptent chaque jour. En implémentant des clés d'accès dès aujourd'hui, vous vous assurez de réussir à l'avenir.

Si vous intégrez un bouton distinct pour les clés d'accès, assurez-vous qu'il s'harmonise avec votre esthétique et votre identité.

Gérer les clés d'accès

Utiliser le mot "créer"

Le mot "Créer" décrit mieux le processus de génération d'une clé d'accès unique. Contrairement à un mot de passe, un compte peut disposer de plusieurs clés d'accès pouvant être utilisées pour se connecter. Par conséquent, une clé d'accès n'est généralement pas modifiée comme un mot de passe, mais plutôt créée et ajoutée à la liste des clés d'accès disponibles. Un utilisateur peut les supprimer si nécessaire.

Lorsqu'une clé d'accès est créée, il s'agit d'un identifiant unique que les utilisateurs peuvent utiliser pour se connecter facilement et de manière sécurisée. Il ne s'agit pas de donner à une application ou à un service une copie de votre mot de passe pour qu'il la stocke et la compare.

Permettez aux utilisateurs de trouver facilement les clés d'accès dans votre service

Indiquez clairement la source de chaque clé d'accès (parfois appelée "provenance" dans ce contexte), qu'il s'agisse du Gestionnaire de mots de passe de Google, du trousseau iCloud, de Windows Hello ou d'un gestionnaire de mots de passe tiers compatible avec les clés d'accès. En communiquant ces informations à vos utilisateurs, vous les aidez à identifier les clés d'accès listées dans l'interface utilisateur.

Capture d'écran de la page des paramètres de sécurité Trailblazer avec les paramètres des clés d'accès affichant trois clés d'accès et leurs sources.
Page des paramètres de sécurité Trailblazer affichant trois clés d'accès et leurs sources.

Ajouter un chiffre aux clés d'accès supplémentaires dans le même écosystème

Si un utilisateur crée plusieurs clés d'accès sur des appareils du même écosystème, ajoutez des chiffres aux clés d'accès supplémentaires pour qu'il puisse les distinguer.

Capture d'écran de la page des paramètres de sécurité Trailblazer avec les paramètres des clés d'accès affichant trois clés d'accès et leurs sources. Les deux derniers sont intitulés "Gestionnaire de mots de passe de Google 1" et "Gestionnaire de mots de passe de Google 2".
La page des paramètres des clés d'accès affiche les clés d'accès et leurs sources. Les deux clés d'accès créées par le Gestionnaire de mots de passe de Google sont intitulées "Gestionnaire de mots de passe de Google 1" et "Gestionnaire de mots de passe de Google 2".

Utilisez le terme "supprimer" lorsque vous supprimez une clé d'accès.

Si un utilisateur souhaite supprimer une clé d'accès qu'il utilise sur votre site, vous pouvez supprimer la clé publique de votre serveur, mais la clé privée ne sera pas supprimée du gestionnaire d'identifiants de l'utilisateur ni de son appareil. Bien que ce processus soit techniquement une "révocation", il est recommandé d'utiliser le terme "supprimer" dans l'interface utilisateur de gestion des clés d'accès pour plus de simplicité et une localisation plus facile.

Si vous disposez de pages d'aide sur la gestion des comptes, ajoutez-y des informations sur la gestion des clés d'accès et incluez des liens vers les pages de gestion des clés d'accès sur différentes plates-formes, comme Chrome et iOS.

Capture d'écran d'une invite pop-up pour supprimer une clé d'accès.
Exemple d'UI de gestion pendant le processus de révocation. Si l'utilisateur clique sur "Supprimer", la clé d'accès doit être supprimée de l'UI.

Prévoir une solution de secours par e-mail ou par téléphone

Si vous disposez d'une solution de secours par e-mail ou par téléphone, l'utilisateur peut récupérer son compte s'il supprime toutes ses clés d'accès. Vous pouvez lui envoyer un lien ou un code de connexion pour qu'il puisse accéder à nouveau à son compte. Vous pouvez également proposer aux utilisateurs de configurer une connexion à un réseau social, comme "Se connecter avec Google".

Gérer plusieurs clés d'accès

Contrairement aux mots de passe traditionnels, un utilisateur peut créer plusieurs clés d'accès sur différents appareils pour un même compte. Si vous ne parvenez pas à localiser la clé d'accès d'un utilisateur sur un appareil donné et que l'utilisateur se connecte à l'aide d'une méthode de connexion de secours, même s'il en a créé une par le passé, envisagez de lui demander d'en créer une nouvelle. Cette action mettra à jour les informations dans leur gestionnaire d'identifiants ou établira une nouvelle clé d'accès sur leur appareil actuel.

Consignes relatives à l'expérience utilisateur FIDO

Pour obtenir d'autres exemples et des schémas détaillés du parcours utilisateur, consultez les Consignes relatives à l'expérience utilisateur FIDO pour les clés d'accès et les connexions.