La plaie de la gestion des mots de passe
Les création de compte, c’est la plaie. Mais le pire, c’est l’identification. Allez soyez honnête ! Combien de fois avez-vous du redemander votre mot de passe en arrivant sur un site pour passer une commande ? Et combien de fois avez-vous du pester pour le faire ? Combien de temps perdez-vous à chaque fois pour vous identifier correctement ? Et combien de login/mot de passe utilisez-vous ? Un, deux, plus ?
Il faut l’avouer, la gestion de l’identification sur le web n’est pas simple. Elle fait perdre du temps et, très souvent, n’est pas du tout sécurisée (ou très mal).
L’identification numérique comme solution
En France, il était question d’une carte d’identité numérique (lire OpenId, Spoonkey et cartes d’identité numérique pour le ecommerce), mais je n’ai depuis plus du tout entendu parler de ce projet. Aux Etats-Unis, c’est le Président O’Bama qui évoque lui même le sujet et propose la mise en oeuvre d’une carte d’identité numérique certifiée et réservée au ecommerce.
Aucune technologie particulière n’a été évoquée, mais il est probable que l’on s’oriente vers une solution de certificat électronique virtuel ou sur clé USB (comme Swekey). La création de cette identité numérique serait à la charge du secteur privé.
Novatrice, cette décision est la preuve qu’aux Etats-Unis, on prend le ecommerce très au sérieux.
Intérêt d’un identifiant unique et électronique
Je vois plusieurs intérêts à un identifiant unique que je me permets ici de soumettre à vos esprits sagaces et perspicaces :
- Augmenter le taux de transformation sur les sites ecommerce : les gains pourraient être énormes, car une identité numérique signifie de ne plus avoir à passer par l’insupportable phase d’inscription sur un site ou de login
- Protéger mieux les consommateurs en améliorant la sécurisation des données
- Personnaliser les offres selon les profils utilisateur
Certains grand groupes de ecommerce songent déjà à mettre en place un identifiant unique pour leurs différents sites ecommerce avec plusieurs objectifs :
- Faciliter l’identification sur leurs sites
- Personnaliser l’accès aux offres
- Croiser les données récoltées entre les différents sites
- Utiliser cet identifiant comme une carte de fidélité
Utilisé sur un teléphone mobile, cet identifiant pourrait même voir sa puissance décuplé en permettant de croiser les données d’achats entre le monde réel et le monde virtuel (pour peu que les individus acceptent que l’on aille si loin dans la connaissance de leurs modes de consommation).
Pour l’heure aucune solution de la sorte n’a été mise en oeuvre, excepté, finalement, pour Facebook avec son système Facebook Connect (quelques exemples d’utilisation ici), bien qu’on le voit encore peu sur les sites de ecommerce en France (sans doute pour des raisons de confidentialité des données)
Alors, si l’Amérique s’y met, il n’y a pas de raison pour que l’Europe ne le fasse pas rapidement. Qu’en pensez-vous ?
L’idée de départ est excellente !
A voir ce que cela va donner dans l’avenir et dans sa mise en place.
Ben, déjà, une clé matérielle (USB), ça me semble être une erreur.
Vous vous souvenez des trucs “secure” 3D pour les paiement par ligne avec CB, vous savez les objets genre calculatrice, carte à gratter, etc… ? Que des fiascos. On se tourne d’ailleurs vers un autre mode d’authentification de paiement au niveau européen (et c’est bien).
Je ne demande qu’à voir et à implémenter pour les services e-commerce que j’héberge. Et surtout la réelle sécurité (je suis intraitable là-dessus)
[...] Actu provenant de : Capitaine commerce 3.0 [...]
Sur le principe il s’agit d’une très bonne idée, cependant au niveau de la réalité je pense que c’est sujet à passablement de risques.
Prenons le cas avec Sony et sa Playstation Network qui se font dérober des comptes utilisateurs, Sony c’est pas rien et pourtant ils se font mettre à terre par une personne (ou plus).
Imaginons, vous êtes un hacker vous pouvez choisir de hacker des petits sites e-commerce au petit bonheur la chance ou choisir le Graal. De plus vous savez exactement où le Graal est caché, le choix sera vite fait.
Finalement, il n’est pas plus risqué de gérer soi-même les données utilisateurs, car selon votre taille votre potentiel de risque sera moins grand.
Mais sur le principe d’avoir 1 identifiant unique, c’est une bonne idée, car à l’heure actuelle les formulaires à remplir, “ça gave”
le mode d’identification via son profil facebook est aussi une solution… qui ne répond qu’à une partie de la population, certes. nous ne l’avons pas encore définitivement validé, mais nous y songeons sérieusement… histoire, justement, de raccourcir encore un peu le processus d’identification lors de l’arrivée d’un nouveau client.
yep… c’est une idée intéressante
L’identification via facebook se fait déjà.. et franchement c’est une horreur!! on perd completement le controle de ses informations privées.
Heureusement que bientot sur ukanshop on vendra des cagoules
Oui a la cagoule!
L’identification pour l’achat en ligne est un point super sensible, pas seulement pour la liberté individuelle, mais aussi pour la sécurité enligne. Ce qu’il faut aussi éviter c’est de faire porter une charge supplémentaire sur les vendeurs en ligne.. car au plus les contraintes sont dures pour vendre en ligne, au plus on favorise les gros groupes seuls capables d’assumer la charge des frais.. et ça tue la diversité à la gloire du monopole! Ya du boulot sur la planche pour trouver la meilleure solution.. mais s’il vous plait.. Pas facebook!! La on est sur de finir dans un listing marketing!!! Facebook aurait meme le détail de nos achats, notre compte en banque. STOP!!!
Ici en Belgique nous avons une superbe carte d’identité Electronique capable de génerer des signatures Electronique ( avec code pin et lecteur usb) , promise à un avenir de e-commerce et en pratique .. on ne ve voie rien venir….
. Voici une liste des services accessibles par e-id http://www.tilto.be/eid.php .
Dans la pratique elle ne sert que sur les sites d’état et pour déclarer les impôts
point de vue e-commerce il ya le le service Freedelity qui utilise l’e-id comme carte de fidélité multi enseignes
@ Ukanshop : je suis tout à fait d’accord. c’est bien pour cela que je précisais “pas définitivement validé”.
Nous l’avons testée il y a quelques mois durant quelques jours.
Mais il faut bien avouer que c’est tentant : des millions d’utilisateurs potentiels sont susceptibles de valider cette procédure d’enregistrement.
Il “suffit” de garder ce qui est bon dans le principe, tout en éliminant le reste… on y travaille.
Une solution simple que j’utilise pour tout mes accès web (hors banque et paypal) : lastpass.com
Très pratique et gratuit, et super qu’on fait une réinstall ou quand on passe d’un ordi à un autre.
Article intéressant… je m’étais posé la même question mais en me demandant si Facebook Connect pouvait devenir l’identifiant unique et quels risques cela pouvait engendrer.
L’article => http://www.netemedia.fr/facebook-identification-universelle/
Et ++1 pour lastpass.com qui est vraiment excellent pour retenir et remplir les formulaires
Les avantages semblent indéniables, tout au moins du point de vue des e-commerçants. Ne serait-ce en effet que par la suppression de l’abandon du panier en cours, à cause de cette insupportable inscription/connexion, comme justement indiqué dans cet article.
Un autre élément à mettre peut-être en avant : le vol de ce certificat sous quelle forme que ce soit (matérielle ou logicielle) peut faire des ravages, car donnant potentiellement accès à de multiples sites en ligne, selon l’activité du consommateur.
Mais d’un autre côté, l’opposition rapide à cette identification dérobée offre également un atout de taille : tout est bloqué, et le consommateur ne risque plus rien.
On se rapproche finalement du principe de la carte bancaire : plus de facilité dans l’achat, mais fatalement plus de risques et plus de garanties à la fois. En tout cas, je suis curieux de voir comment cette idée va tourner…
J’ai un mot de passe différent par site, et pas mal de logins. Des fois c’est galère, j’avoue, d’autant que je ne les enregistre pas, et que je ne les stock pas sur un support. J’avoue qu’il m’est de plus en plus difficile de les retenir, tout comme je ne retient plus les numéros de téléphone. C’est l’age sans doute.
La Belgique a la solution avec la carte magique (ils sont en avance sur pas mal de sujets d’ailleurs). C’est clairement la solution la plus simple et la plus sécurisante. D’autant que cela pourrait également sécuriser une sorte de coffre fort numérique, contenant documents et autres.
Ca doit etre l’age…
C’est beau, sauf qu’à mon avis aujourd’hui tous les e-commerçants ne sont pas dans la capacité de répondre à des normes de sécurité informatique garantissant à leurs clients la confidentialité de leurs données. Si une grosse boutique le peut, ce n’est amha pas le cas d’une petite.
Avec une identification unique le 1er ado pré-pubère venu aurait la bonne idée de monter une petite boutique “façade” proposant des jeux gratuits à télécharger, mais nécessitant la création d’un compte et hop par ici les informations de certificats ! Il ne restera plus qu’à les réinjecter dans le flux d’authentification d’Amazon pour faire ses courses aux frais du pigeon qui joue à Tower Defence…
S’il faut ensuite faire opposition sur son identifiant web unique ca permettra au moins à certains de retrouver la lumière du soleil.
A-t-on seulement besoin de créer un compte pour acheter dans une boutique en dur aujourd’hui ? Non ! Le seul intérêt de le faire est de profiter d’avantages clients de type fidélité, rien de plus !
Je pense qu’il faut plutôt (ré)habituer le e-consommateur au one-page checkout, la création de compte n’a pas lieu d’être un élément de rassurance et la récupération de l’email client devrait être suffisante au commerçant.
Quid des informations de livraison ? Laisser le choix au client de les saisir, de les enregistrer ou d’utiliser celles fournies par le terminal bancaire (merci Paypal !).
Et si en fin de compte la vraie sécurité/rassurance n’était pas tout simplement la capacité de garantir l’anonymat du client ? Ca serait peut-être plus simple à gérer, non ?
Je verrais bien un truc genre 007 avec identification par empreinte digitale.
Le système login + mot de passe est vieux, archaïque, peu pratique et faiblement sécurisé.
J’ai presque cru au mirage OpenID, mais c’est malheureusement resté dans le giron confidentiel.
C’est vrai qu’on entend plus du tout parler d’OpenID. Dommage…
Article très intéressant et plein d’espoir.
Une fonctionnalité de la sorte serait effectivement très positif et un gain certain pour les utilisateurs et les ecommercants.
Je vois mal l’avenir du ecommerce sans cette fonctionnalité (peut être plus élaborée que login + mdp comme le suggère Laurent plus haut).
Et une plateforme immense de ecommerce qui regrouperait tous les marchands du web sur laquelle on pourrait directement faire ses achats?
Cette idee pourrait faire avancer les choses plus rapidement sur le net a mon avis
Mouais, moyennement convaincu.
Ok, on voit bien l’avantage de pouvoir acheter (et vendre) facilement. Mais quid de la base de données clients ? Comment je sais qui a acheté quoi, où sont mes clients, quel est leur âge, etc ?
Sauf si cela veut dire qu’il y a doublon dans les bases de données : lorsque vous utilisez votre pass magique pour acheter sur mon site, celui-ci enregistre vos données. Mais à partir de là, comment choisissez-vous les données que vous communiquez ?
Bon, comme souvent, une bonne idée, mais qui devra passer le test de la réalité.
Exemple de solution : http://www.yubico.com/yubikey + mot de passe classique
Le principe est bon, surtout dans le E-commerce ou l’on cherche généralement pas a cacher son nom/adresse.
s’identifier avec une clé USB, c’est bien plus contraignant que de saisir ses coordonnées complète et saisir un login/pass unique pour tous les sites ca me parait méchamment dangereux, un coups de fishing et le pirate accède a tous nos comptes.
Faudrait plutôt arrêter de poser 50 questions inutiles dans les tunnels de commandes, le clients est la pour acheter pas pour faire un sondages.
Bref, que cherche t-on a faire ? limiter la saisi utilisateur ou limiter l’usurpation d’identité ? Dans le première cas, rajouter une simple option dans les navigateurs pour saisir automatiquement ses coordonnées me parait plus simple que les openID etc…
Il n’y a pas que les US qui ont cette idée
Cf. IDéNum en France…
[...] Un identifiant unique pour l’e-commerce par Capitaine Commerce (mai 2011) [...]
[...] Un identifiant unique pour l’e-commerce par Capitaine Commerce (mai 2011) [...]
[...] identifiant unique pour l’e-commerce par Capitaine Commerce (mai [...]