Dans un monde où la sécurité numérique devient de plus en plus critique, les mots de passe sont devenus un point faible notoire : ils sont encombrants, souvent peu sécurisés et source de frustration pour les utilisateurs et les développeurs. Mais bonne nouvelle : les clés d'accès gagnent en popularité en tant que mécanisme d'authentification le plus convivial, le plus sécurisé et le plus résistant à l'hameçonnage. Pour les développeurs Android, l'API Credential Manager vous aide à inciter vos utilisateurs à utiliser des clés d'accès tout en continuant à prendre en charge les mécanismes de connexion traditionnels, tels que les mots de passe.

Dans cet article de blog, nous allons aborder certaines des bonnes pratiques à suivre pour inciter les utilisateurs à passer aux clés d'accès.

Comprendre l'authentification avec des clés d'accès

Avant de passer aux recommandations pour encourager la transition vers les clés d'accès, voici un aperçu des principes fondamentaux de l'authentification avec les clés d'accès :

• Clés d'accès : il s'agit d'identifiants cryptographiques qui remplacent les mots de passe. Les clés d'accès sont associées aux mécanismes de déverrouillage des appareils. Elles constituent la méthode d'authentification recommandée pour les applications et les sites.
• Credential Manager : API Jetpack qui fournit une interface d'API unifiée pour interagir avec différents types d'authentification, y compris les clés d'accès, les mots de passe et les mécanismes de connexion fédérée comme Se connecter avec Google.

Comment les clés d'accès aident-elles vos utilisateurs ?

Les utilisateurs bénéficient de plusieurs avantages concrets dans les applications qui leur permettent d'utiliser des clés d'accès pour se connecter. Voici les principaux avantages de l'utilisation d'une clé d'accès pour les utilisateurs :

• Expérience de connexion améliorée : les utilisateurs bénéficient de la même UI, qu'ils utilisent des mots de passe, des clés d'accès ou des mécanismes de connexion fédérée comme Se connecter avec Google.
• Temps de connexion réduit : au lieu de saisir des mots de passe, les utilisateurs utilisent les mécanismes de déverrouillage de leur téléphone, comme les données biométriques, ce qui leur permet de se connecter facilement.
• Sécurité renforcée : les clés d'accès utilisent la cryptographie à clé publique. Ainsi, les fuites de données des fournisseurs de services ne compromettent pas les comptes protégés par des clés d'accès. Elles sont basées sur des API et des protocoles conformes aux normes du secteur pour s'assurer qu'elles ne sont pas victimes d'attaques par hameçonnage. (Pour en savoir plus sur la synchronisation et la sécurité, cliquez ici.)
• Expérience unifiée sur tous les appareils : les utilisateurs peuvent synchroniser les clés d'accès sur tous leurs appareils. Ils bénéficient ainsi d'une authentification simplifiée, quel que soit l'appareil utilisé.
• Plus de problèmes liés aux mots de passe oubliés !

Plusieurs applications populaires ont témoigné de l'amélioration de l'expérience avec les clés d'accès. X a constaté que les taux de connexion avaient été multipliés par deux après l'ajout de clés d'accès à ses flux d'authentification. KAYAK, un moteur de recherche de voyages, a constaté que le temps moyen nécessaire à ses utilisateurs pour s'inscrire et se connecter avait diminué de 50 % après l'intégration des clés d'accès à ses flux d'authentification. Zoho, une suite logicielle cloud complète axée sur la sécurité et les expériences fluides, a multiplié par six la vitesse de connexion en adoptant les clés d'accès dans son application Android OneAuth.

À quels contenus aurez-vous accès ?

Lorsque vous migrez votre application pour utiliser des clés d'accès, vous exploitez l'API Credential Manager, qui est la norme recommandée pour l'identité et l'authentification sur Android.

En plus des clés d'accès, l'API Credential Manager est compatible avec les mécanismes de connexion traditionnels, ce qui simplifie le développement et la maintenance de vos flux d'authentification.

Pour tous ces mécanismes de connexion, le Gestionnaire d'identifiants propose une UI de feuille inférieure intégrée, ce qui vous permet de gagner du temps de développement tout en offrant aux utilisateurs une expérience cohérente.

Quand devez-vous inviter les utilisateurs à utiliser des clés d'accès ?

Maintenant que nous avons établi les avantages des clés d'accès, voyons comment encourager vos utilisateurs à migrer vers les clés d'accès.

Voici une liste des parcours utilisateur dans lesquels vous pouvez promouvoir les clés d'accès :

• Enregistrement de compte utilisateur : affichez des invites de création de clés d'accès à des moments clés, par exemple lorsque vos utilisateurs créent leur compte :

Requêtes contextuelles lors de la création d'un compte

• Connexion : nous vous recommandons d'inciter les utilisateurs à créer des clés d'accès immédiatement après leur connexion avec un code secret à usage unique, un mot de passe ou d'autres mécanismes de connexion.

Inviter à créer une clé d'accès lors de la connexion

• Récupération de compte : le parcours utilisateur critique (CUJ) pour la récupération de compte est celui qui, historiquement, présente des difficultés pour les utilisateurs. Il est recommandé d'inviter les utilisateurs à adopter les clés d'accès lors de la récupération de leur compte. Les utilisateurs qui adoptent les clés d'accès bénéficient d'une expérience de récupération de compte similaire à celle de la connexion.

Parcours de récupération de compte

• Réinitialisation du mot de passe : c'est le moment idéal pour inviter les utilisateurs à créer une clé d'accès. Après avoir réinitialisé leur mot de passe, ils sont généralement plus réceptifs à la commodité et à la sécurité offertes par les clés d'accès.

Créer une clé d'accès pour vous connecter plus rapidement la prochaine fois

Comment encourager la transition vers les clés d'accès ?

Pour inciter les utilisateurs à passer des mots de passe aux clés d'accès, vous devez mettre en place une stratégie claire. Voici quelques bonnes pratiques recommandées :

• Proposition de valeur claire : utilisez des invites simples et axées sur l'utilisateur pour expliquer les avantages des clés d'accès. Utilisez un message qui met en avant les avantages pour les utilisateurs. Mettez en avant les avantages suivants :
  • Des avantages en termes de sécurité améliorés, comme la protection contre l'hameçonnage.
  • Vous n'avez pas besoin de saisir de mot de passe.
  • Possibilité d'utiliser la même clé d'accès sur plusieurs appareils/plates-formes.
  • une expérience d'authentification cohérente ;

Invite à utiliser une clé d'accès avec une proposition de valeur claire

• Offrez une expérience utilisateur fluide :
  • Utilisez l'UI unifiée fournie par Credential Manager pour afficher toutes les options de connexion disponibles. L'utilisateur peut ainsi choisir sa méthode préférée sans avoir à se souvenir de celle qu'il a utilisée la dernière fois.
  • Utilisez l'icône officielle de clé d'accès pour familiariser les utilisateurs avec cette fonctionnalité et créer une expérience cohérente.
  • Assurez-vous que les utilisateurs peuvent se rabattre sur leurs méthodes de connexion traditionnelles ou sur une méthode de récupération, comme un nom d'utilisateur et un mot de passe, si une clé d'accès n'est pas disponible ou s'ils utilisent un autre appareil.
• Fournissez aux utilisateurs des informations claires sur les identifiants dans l'interface utilisateur des paramètres de votre application : assurez-vous que vos utilisateurs comprennent leurs options d'authentification en affichant des informations utiles sur chaque clé d'accès dans les paramètres de votre application. Pour en savoir plus sur l'ajout de métadonnées d'identifiants, consultez la documentation Credential Manager.

Métadonnées de la clé d'accès sur l'écran des paramètres de l'application

• Informez les utilisateurs : complétez le message pour adopter les clés d'accès avec des ressources pédagogiques ou des liens intégrés à l'application qui expliquent en détail les clés d'accès.
• Déploiement progressif : envisagez un déploiement par étapes pour présenter les clés d'accès à un sous-ensemble de votre base d'utilisateurs. Vous pourrez ainsi recueillir des commentaires et améliorer l'expérience utilisateur avant un lancement plus large.

Études de cas pour les développeurs

Les expériences réelles des développeurs montrent souvent que de petits choix de conception (comme le moment et l'endroit où afficher une invite de clé d'accès) peuvent avoir une influence considérable sur l'adoption et la confiance des utilisateurs. Pour voir comment cela fonctionne, examinons comment les meilleures applications ont stratégiquement affiché des invites de clé d'accès à des moments clés de leurs applications pour favoriser une adoption plus forte :

Uber

Pour accélérer l'adoption des clés d'accès, Uber les promeut de manière proactive dans différents parcours utilisateur, en parallèle de stratégies marketing.

Uber a déclaré : "Plus de 90 % des inscriptions aux clés d'accès proviennent de la promotion de la création de clés d'accès à des moments clés dans l'application, par rapport aux CUJ d'intégration et d'authentification". Cela souligne l'efficacité de sa stratégie proactive.

Principaux enseignements et stratégies tirés de leur implémentation :

• Proposer des clés d'accès sans perturber l'expérience utilisateur principale : Uber a ajouté une nouvelle expérience de vérification de compte dans ses paramètres de compte pour mettre en avant les avantages des clés d'accès, ce qui a entraîné des taux d'adoption élevés.

Parcours de vérification du compte utilisateur

• Proposer les clés d'accès aux utilisateurs de manière proactive : l'équipe a appris à ne pas attendre que les utilisateurs découvrent les clés d'accès de manière naturelle. En effet, s'appuyer sur une adoption naturelle aurait été plus lent, malgré les avantages observés, comme des connexions plus rapides et des taux de réussite de connexion plus élevés pour les utilisateurs de clés d'accès.
• Utilisez d'autres supports pour promouvoir les clés d'accès : Uber teste également la promotion des clés d'accès par le biais de campagnes par e-mail ou de bannières sur l'écran du compte d'un utilisateur pour mettre en avant la nouvelle méthode de connexion, ce qui rendra sa prochaine connexion plus facile et plus sécurisée.
• Respectez le choix de vos utilisateurs : Uber a mis en place une logique de backoff dans les flux critiques tels que les écrans de connexion et d'inscription, et propose dans certains contextes des clés d'accès en plus d'autres méthodes d'authentification connues, car tous les utilisateurs ne sont pas encore prêts à utiliser des clés d'accès.

Voici ce qu'Uber a à dire :

"Chez Uber, nous avons constaté que les utilisateurs qui adoptent les clés d'accès bénéficient d'une expérience de connexion plus rapide, plus fluide et plus sécurisée. Pour aider davantage d'utilisateurs à profiter des clés d'accès, nous avons ajouté des incitations à en créer une à des moments clés de l'expérience utilisateur : paramètres du compte, inscription et connexion. Ces actions proactives ont considérablement accéléré l'adoption des clés d'accès."

Ryan O'Laughlin, ingénieur logiciel senior, Uber

Economic Times

Economic Times, qui fait partie de l'écosystème Times Internet, a misé sur une expérience utilisateur fluide pour inciter les utilisateurs à passer aux clés d'accès.

Après avoir introduit des incitations ciblées, Economic Times a observé une amélioration d'environ 10 % du taux de création de clés d'accès au cours de la période de déploiement initiale.

Principaux enseignements et stratégies tirés de leur implémentation :

• Invites stratégiques à créer des clés d'accès : au départ, Economic Times invitait les utilisateurs à créer des clés d'accès de manière agressive dans plusieurs parcours utilisateur. Cependant, il a été observé que cette approche perturbait les parcours essentiels à l'activité, comme les achats d'abonnements ou le déverrouillage de fonctionnalités premium, et entraînait des abandons de panier.
• Approche affinée : Economic Times a délibérément choisi de supprimer les invites de génération de clés d'accès des flux sensibles (comme le flux de règlement des abonnements) pour privilégier l'exécution immédiate des actions.
• Invites ciblées : ils ont stratégiquement maintenu la génération de clés d'accès dans les zones où l'intention de l'utilisateur de se connecter ou de gérer l'authentification est élevée, comme les flux d'inscription initiale, les pages de connexion explicites ou les sections de gestion de compte.
• Résultat positif : ce déploiement affiné a permis d'améliorer le nombre de clés d'accès générées, ce qui indique une forte adoption par les utilisateurs, sans compromettre l'expérience utilisateur dans les flux commerciaux critiques.

Écran de gestion des clés d'accès

Conclusion

L'intégration des clés d'accès au Gestionnaire d'identifiants d'Android ne se limite pas à l'adoption d'une nouvelle technologie. Elle vise à offrir à vos utilisateurs une expérience fondamentalement plus sécurisée, pratique et agréable. En vous concentrant sur l'introduction intelligente des clés d'accès, vous ne vous contentez pas de sécuriser les comptes. Vous renforcez également la confiance et préparez la stratégie d'authentification de votre application pour l'avenir.

Pour offrir à vos utilisateurs la meilleure expérience possible, optimisée et fluide, suivez les consignes UX lorsque vous implémentez l'authentification par clé d'accès avec Credential Manager. Consultez la documentation dès aujourd'hui !

• Exemple avec les bonnes pratiques UX
• Connecter un utilisateur avec le Gestionnaire d'identifiants
• Documentation de référence de l'API – androidx.credentials
• Authentification des utilisateurs avec des clés d'accès
• Centre de sécurité Google : clés d'accès
• Blog Google sur la sécurité : Sécurité des clés d'accès dans le Gestionnaire de mots de passe de Google