Vous l’avez peut-être déjà remarqué ? Il n’est jamais très agréable de ne pas arriver à se loguer sur un site parce qu’on a oublié son identifiant ou son mot de passe. C’est encore pire quand on a ce genre de message.
Avec un message comme ça, on est bien avancé
Cherchez l’erreur ! Est-ce votre identifiant, votre mot de passe ou les deux qui sont faux ? Si vous utilisez plusieurs adresses email, comme moi, il se peut que vous ayez devant vous un certain nombre de tentatives avant de retrouver la bonne combinaison. On se croirait au Master Mind ! Evidemment, il reste toujours la possibilité de redemander un mot de passe, mais c’est un peu la solution de facilité.
Autre champion de la complexité en la matière, le Yahoo ID. Si vous avez perdu votre identifiant ou votre mot de passe, vous êtes bon pour 5 bonnes minutes de pérégrination entre plusieurs questions sordides où l’on vous demande l’âge de votre mère ou la couleur de votre chat blanc.
Chez Yahoo, retrouver son mot de passe est un véritable parcours du combattant
Mais le pompon en la matière revient sans doute à Ebay pour lequel j’ai définitivement perdu les informations d’un de mes comptes malgré de longues minutes de transpiration.
Et si je n'ai pas de mère, je fais quoi, moi ?
Alors qu’il me semble être certain de connaître ma date de naissance et le nom de jeune fille de ma mère (qui n’ont pas changé depuis environ 35 ans), Ebay refuse systématiquement de me valider mes informations (à croire que j’étais ivre le jour où j’ai du les entrer dans le système, mais bon…)
Mais cessons là ces sarcasmes, car il est évidemment compliqué pour des géants comme Ebay ou Yahoo de gérer des millions d’identités et il est normal après tout que des méthodes drastiques soient appliquées pour permettre aux honnêtes citoyens de retrouver leurs informations de connexion sans que d’autres puissent leur subtiliser.
Malgré cela, et si vous même ne devez pas gérer des millions de comptes pour votre site, vous devriez vous assurer que la procédure pour retrouver leurs identifiants ne se transforme pas en épreuve pour vos utilisateurs. Ou sinon, gare aux fuites ! Il se pourrait bien que ce simple petit problème soit, sans que vous en ayez conscience, le point de déperdition de futurs acheteurs.
Pour retenir les mots de passe j’utilise keepass : http://www.capitaine-commerce.com/2007/12/20/441-j-en-ai-plein-et-des-longs-que-faire/
Cet utilitaire est carrément mon sauveur !
(ceci dit, j’oublie aussi parfois de le remplir).
Il est clair que la meilleur solution reste un couple email/mot de passe où l’on puisse juste récupérer son mot de passe en indiquant son email. Le mot de passe associé est envoyée sur l’email correspondant, et voilà !
Je ne parviens pas à comprendre en quoi cette méthode n’est pas sécurisée et pourquoi ce n’est pas un standard dans le genre.
Peut être que tout cet arsenal sécuritaire est censé produire un effet « psychologique » pour rassurer sur la sécurisation des données.
Au détriment de l’expérience utilisateur.
Etre flou sur l’échec d’identification peut être nécessaire si le site ne contient pas de protection contre les attaques de type « Brutal Force ».
En effet, si le message précise que le mot de passe est incorrect, il suffit de se focaliser sur ce champ là.
Après il y aura toujours le bon ratio sécurité/ergonomie à trouver.
Il est clair que, le temps passant, on va tous se retrouver avec 200 couples e-mail/mot de passe !
Les solutions type OpenID ou Spoonkey ont une courbe d’adoption finalement très lente. Le gars qui trouvera LA solution d’identification universelle fera sûrement fortune.
Est-ce que ça sera un mot de passe ? De la biométrie ?
Aucune idée… Le time-to-market, il lui faudra du flair, de la chance et de l’audace.
La solution d’authentification universelle a peut être été trouvée. Reste à la promouvoir.
L’utilisateur ne retient qu’un code PIN de 4 a 10 chiffres. et il obtient un mot de passe a usage unique en interaction avec un navigateur internet ou unmobile.
http://www.swivelsecure.com/france
Je viens aussi de découvrir ça : intéressant…
http://www.reversoform.com/
Permet d’identifier un client via son numéro de téléphone fixe.