Sain et sauf : comment aborder l'UX de mot de passe

Publié: 2022-03-11

En 2019, la cybercriminalité a coûté aux entreprises plus de 2 000 milliards de dollars dans le monde. Avec l'afflux de produits numériques, de plus en plus de personnes réutilisent les identifiants de connexion, principale cause de violation de données. Pendant trop longtemps, l'expérience utilisateur de la gestion des mots de passe a été ignorée. Il est temps pour les concepteurs de repenser chaque aspect de l'UX des mots de passe.

Une grande partie de nos vies est gérée numériquement. Il existe une application, un site Web ou une plate-forme SaaS pour presque tous les aspects de l'expérience humaine, et ils nécessitent tous des mots de passe. Avec autant de comptes viennent des problèmes.

Selon passwordresearch.com, 80 % des violations de données sont attribuées à des identifiants de connexion faibles ou réutilisés , 61 % des personnes utilisent le même mot de passe pour plusieurs comptes et seulement 44 % des utilisateurs changent de mot de passe au moins une fois par an.

C'est beaucoup de confiance à accorder aux plateformes en ligne. Si une application est piratée, tous les comptes sont vulnérables.

Mot de passe

La situation actuelle des mots de passe est effrayante. En tant que concepteurs, nous pourrions être tentés de nous concentrer sur l'attrait visuel des écrans de connexion tout en ignorant la manière dont les utilisateurs créent réellement les mots de passe. On pourrait même penser que les mots de passe relèvent de la responsabilité des développeurs.

Malheureusement, le problème de mot de passe a un réel impact commercial. La frustration lors de l'inscription conduit les utilisateurs potentiels à abandonner complètement le processus. D'autres oublient les mots de passe alambiqués qu'ils ont été forcés de créer et dépassent le support client, perdant du temps, de la main-d'œuvre et de l'argent.

Un processus de mot de passe mal pensé a un effet domino négatif sur les utilisateurs et les entreprises. Les concepteurs peuvent-ils faire quelque chose pour améliorer la situation ?

Comment améliorer l'UX du mot de passe

Il existe un certain nombre de stratégies qui améliorent l'UX des mots de passe, et elles ne sont pas trop complexes. Comme toujours, il est important d'avoir une image des principaux utilisateurs lors de la planification d'une expérience de mot de passe. Cherchez à trouver un équilibre entre :

  • Instructions claires
  • Gestes simples
  • Sécurité des utilisateurs à long terme

Réinitialiser le mot de passe ux
Voici un exemple de ce qu'il ne faut pas faire. L'utilisateur reçoit un message d'erreur (trop long) mais aucune indication claire sur la façon de le corriger ou sur la longueur acceptable.

N'utilisez pas trop de règles de sécurité

Il devrait être facile de créer un mot de passe. Forcer les utilisateurs à respecter une longue liste d'exigences entraîne des frictions dans le processus d'inscription. Il est préférable de permettre aux utilisateurs de créer les mots de passe qu'ils souhaitent, mais s'ils choisissent quelque chose d'évident comme 12345 , faites-leur savoir que leurs informations personnelles sont vulnérables.

Dites aux utilisateurs pourquoi les mots de passe sécurisés sont importants

Personne n'aime suivre des règles ou des instructions sans contexte. Au lieu d'empêcher la création de compte, éduquez les utilisateurs sur les dangers du vol d'identité et des attaques de données. Dans la mesure du possible, utilisez des statistiques du monde réel pour enfoncer le clou : « Saviez-vous qu'une attaque de cybersécurité se produit toutes les 39 secondes ? »

Ajouter l'option pour afficher/masquer les mots de passe

"La convivialité en souffre lorsque les utilisateurs saisissent des mots de passe et que le seul retour qu'ils obtiennent est une rangée de puces. En règle générale, le masquage des mots de passe n'augmente même pas la sécurité , mais cela vous coûte cher en raison des échecs de connexion. –Jacob Nielsen

Autorisez les utilisateurs à voir les mots de passe en plaçant des icônes Afficher/Masquer dans les champs de saisie du mot de passe. Un œil qui s'ouvre et se ferme lorsqu'on clique dessus est courant, mais selon le produit et les utilisateurs, il peut être plus efficace d'inclure une simple bascule Afficher/Masquer le texte.

Certains sites utilisent par défaut des champs de saisie non masqués. Bien que cette stratégie soit généralement bien accueillie par les utilisateurs, elle doit être utilisée avec une option Masquer pour les environnements moins sécurisés (cafés, bureaux, etc.).

Exigences de mot de passe ux
Outre des instructions de mot de passe claires, Maxwell Health utilise des icônes Afficher/Masquer facilement identifiables avec des étiquettes de texte.

Inclure un compteur de force de mot de passe

Les compteurs de force de mot de passe donnent des informations en temps réel et indiquent aux utilisateurs dans quelle mesure les mots de passe résisteront aux attaques de données. Les compteurs de force doivent être associés à une copie réfléchie qui communique différents niveaux d'efficacité du mot de passe.

Faible , moyen et fort sont des indicateurs utiles, mais la copie doit avertir les utilisateurs de ce qui est en jeu : "Votre mot de passe vous expose au vol de données."

En plus de la copie, réfléchissez aux couleurs qui auront un impact, mais rappelez-vous que la couleur a une signification culturelle.

Meilleures pratiques de validation de mot de passe
MEGA, un fournisseur de stockage en nuage, associe une copie informative à son compteur de force de mot de passe.

Passer aux phrases de passe

Les phrases secrètes ont tendance à contenir entre huit et 16 caractères, mais elles peuvent être plus longues. Plus la longueur est grande, plus il est probable qu'une phrase secrète puisse supporter une attaque par force brute.

L'attrait des mots de passe est qu'ils sont faciles à retenir. Au lieu de quelque chose de faible et d'oubliable comme myhouse5 , un utilisateur peut entrer myhouseisawesomeandcozy .

Pour les phrases secrètes de quatre mots ou plus, un niveau élevé de caractère aléatoire n'est pas nécessaire, mais les utilisateurs doivent être avertis d'éviter les associations de mots bien connus (paroles de chansons, citations de films, etc.).

Validation du mot de passe

Considérez les alternatives de mot de passe

Les mots de passe sont un paradigme bien établi, mais ils ne sont pas le seul moyen de protéger les données des utilisateurs. La biométrie, le matériel physique et les processus de connexion repensés font partie d'une poussée de l'industrie technologique pour faire des mots de passe une chose du passé.

Utiliser l'authentification unique

L'authentification unique (SSO) est une stratégie par laquelle les utilisateurs accèdent à plusieurs produits et services avec un seul nom d'utilisateur et mot de passe. Les sites et les applications qui utilisent l'authentification unique s'appuient sur des tiers (des entreprises comme Google, Facebook et Apple) pour vérifier l'identité des utilisateurs. Tout ce que les utilisateurs ont à faire est d'accorder l'accès à leurs comptes SSO.

L'authentification unique empêche les utilisateurs d'accumuler des mots de passe, augmente la vitesse d'intégration et permet aux entreprises de bénéficier de l'infrastructure de sécurité des grandes entreprises.

Changer le mot de passe ux
Plutôt que de créer plus de mots de passe, les nouveaux utilisateurs de Kayak peuvent choisir parmi une poignée de fournisseurs SSO.

Utiliser les empreintes digitales et la reconnaissance faciale

De nombreux téléphones, ordinateurs portables et tablettes sont équipés d'une technologie biométrique qui s'intègre facilement dans le processus de connexion. Plutôt que de saisir des mots de passe, les utilisateurs touchent ou regardent simplement leurs appareils. La sécurité augmente car les visages et les empreintes digitales sont difficiles (mais pas impossibles) à falsifier.

Un inconvénient est qu'il existe encore des appareils sans capacités biométriques, les concepteurs doivent donc proposer d'autres options de connexion.

Autoriser la connexion sans mot de passe

Tant que les utilisateurs ont des smartphones et des noms d'utilisateur, la connexion sans mot de passe est une option viable. Après avoir entré les noms d'utilisateur, les utilisateurs reçoivent un message à l'écran contenant un code PIN. Dans le même temps, une notification téléphonique invite les utilisateurs à sélectionner un code PIN correspondant dans une liste d'options. Ce processus fonctionne également avec les empreintes digitales et la reconnaissance faciale.

Activer la connexion par e-mail

Presque tous ceux qui utilisent des produits numériques ont une adresse e-mail, et la plupart des gens utilisent déjà le courrier électronique pour des mesures de sécurité telles que les mots de passe et les noms d'utilisateur oubliés. Pourquoi ne pas aller plus loin ?

La connexion par e-mail fonctionne en envoyant des liens limités dans le temps aux boîtes de réception des utilisateurs. Slack et Medium ont une fonctionnalité de connexion par e-mail appelée "Magic Link" qui rend la connexion beaucoup plus transparente.

Récupération de mot de passe ux
Une fois que le lien de connexion par e-mail de Medium atterrit dans la boîte de réception d'un utilisateur, il n'est viable que pendant 15 minutes.

Fournir des clés de sécurité physiques

Au sein des entreprises et des secteurs où la sécurité est de la plus haute importance (finance, santé, etc.), de plus en plus d'entreprises optent pour l'utilisation de clés physiques. Ces cartes cryptographiques se branchent sur des ports USB et entrent automatiquement des mots de passe à usage unique dans les champs de connexion de l'application.

La technologie est encore en développement, mais il a été prouvé qu'elle :

  • Rendez la connexion 4 fois plus rapide
  • Réduisez les coûts d'assistance de 90 %
  • Éliminer virtuellement les piratages de compte

De plus, des entreprises comme YubiKey ajoutent la reconnaissance d'empreintes digitales pour une protection accrue. Un inconvénient évident est le risque de perdre du matériel. Même si les clés perdues peuvent être désactivées par les administrateurs, la récupération de compte est beaucoup plus compliquée que d'appuyer sur un bouton "Mot de passe oublié".

Réinitialisation du mot de passe ux
La carte de sécurité cryptographique de YubiKey se branche sur les ports USB et améliore considérablement la vitesse de connexion.

UX de mot de passe simple et sécurisé

Ce n'est pas un coup dur pour les utilisateurs, mais ils ne sont pas les meilleurs pour créer, mémoriser ou gérer les mots de passe, ce qui provoque de la frustration et des frictions UX inutiles. En tant que designers, nous ne devons pas nous contenter du statu quo. Nous résolvons les problèmes et il existe plusieurs façons d'affiner ou de repenser complètement l'expérience de mot de passe.

Tant qu'il y aura des comptes numériques contenant des données sensibles, nous devrons concevoir des moyens permettant aux utilisateurs de vérifier qu'ils sont bien ceux qu'ils prétendent être . Peut-être viendra-t-il un jour où les mots de passe seront obsolètes, mais jusque-là, nous devons nous efforcer d'offrir des expériences utilisateur de mots de passe simples et sécurisées pour toutes les parties.

Dites-nous ce que vous en pensez! S'il vous plaît laissez vos pensées, commentaires et commentaires ci-dessous.

• • •

Pour en savoir plus sur le blog Toptal Design :

  • Safe by Design - Un aperçu de la sécurité UX
  • Le guide ultime de la conception de sites Web de commerce électronique
  • La fin des formulaires Web
  • Home Smart IoT Home : Domestiquer l'Internet des Objets
  • UX personnalisée et puissance du design et de l'émotion