• A la une
  • Catégories
  • Dossiers
  • Rédacteurs
  • +

Depuis quelques mois, quelques articles, discussions, et même proof of concept et outils circulent à propos d'un nouveau type de connexion: les connexions sans mot de passe (password-less login). Récapitulatif

Introduction

Le moyen de se connecter à un service n'est pas, contrairement à ce que l'on pourrait penser, quelque chose d'anodin. Sur le web, elle représente un effort important, pour l'utilisateur comme pour les créateurs du site, alors qu'elle n'apporte rien au contenu final. Peut être est-ce le temps de chercher mieux ?

Les différentes possibilités

Le modèle le plus lourd et contraignant est bien sur la connexion par mot de passe, c'est a dire la façon "standard" de se connecter. On entre un nom d'utilisateur, un mot de passe, et on se connecte. Cela semble simple, mais signifie en réalité :

  • Pour l'utilisateur : choisir un mot de passe adapté aux restrictions du service (et dans l'ideal unique), et retenir ce mot de passe (et nous savons tous a quel point il est simple d'oublier ses mots de passe).
  • Pour le créateur : Pages de connexion, d'oubli de mot de passe, de changement de mot de passe, un cryptage efficace.

Une autre possibilité est la connexion par Oauth ou identique (connect with facebook/twitter/google/...). Là, on a quelque chose de simple, mais avec quand même quelques restrictions :

  • Pour l'utilisateur : Nécessité d'avoir un compte à droite à gauche, le partage de données personnelles
  • Pour le créateur : Dépendance envers un service externe, interface pas toujours simple à mettre en place.

Une autre possibilité ?

Ben Brown, partant de ce constat, a imaginé une autre façon de se connecter: Un password-less login.

Pour se connecter, il suffirait d'entrer son mail, et le site nous envoie un message contenant le lien de connexion (un peu comme le lien mot de passe oublié). Cliquer sur ce lien nous connecte, et nous restons connecté jusqu'à ce que nous nous déconnections.

Les inconvénients:

  • Pour le visiteur : Avoir une boite mail ouverte pour se connecter
  • Pour le créateur : Pas grand chose

Évidemment, certains diront que si quelqu'un accède à une boite mail il accède à tous les services associés, mais c'est déjà un peu le cas.

Et ça fonctionne ?

Et bien oui, voilà un exemple fonctionnel

(Dispo sur Github)

Et vous, que pensez vous de cette idée? Auriez vous envie de l'essayer, ou avez vous des contre-indications?

  • Partager l'article en 1 clic !

    N'hésitez pas à aider le BlogDuWebdesign
Avatar_thumbAuteur : Benjamin voir son blog

Développeur autodidacte depuis quelques années, déjà, je suis le développeur du blog du webdesign, où mon rôle est de concretiser les différentes idées et maquettes.

Devenez membre !

Rejoignez la communauté des créatifs du web !
- Partagez vos créations
- Gagnez en visibilité
- Créez votre blog facilement
> En savoir plus

Créer mon compte

25Commentaires

  • Avatar_thumb
    Jb

    le 04/10/2012 | #1

    Et si le mail n'arrive pas pour X raisons, pas de connexion

  • Avatar_thumb
    riless

    le 04/10/2012 | #2

    pas très ingénieux son truc: non seulement il faudra renseigner son adresse email dans le site en question, mais il faudra encore le faire pour nous connecter à notre boite mail (en plus du mot de passe), et puis enfin chercher le lien qui nous permettrais de nous connecter (donc jongler entre les anglets au moins 3 fois.)

    pas très astucieux à mon avis.

  • Avatar_thumb
    Gurvan MERHAND

    le 04/10/2012 | #3

    Pour info des addons sont disponible pour Drupal & Wordpress pour gérer ce fonctionnement (je ne sais pas pour les autres CMS, je ne travaille que sur ces 2 outils en ce moment)
    http://drupal.org/project/passwordless
    http://wordpress.org/extend/plugins/passwordless/

  • Avatar_thumb
    Gurvan MERHAND

    le 04/10/2012 | #4

    Mail il faut toujours un mot de passe... celui de la messagerie ;-)

  • Avatar_thumb
    gordon

    le 04/10/2012 | #5

    Il faut pousser la réflexion un peu plus loin. Pour authentifier quelqu’un, on a toujours eu plusieurs méthodes, classées en 3 catégories principales :

    — Ce que l’on sait. Ça peut être un mot de passe, ou bien une connaissance d’un fait, que l’on partage avec quelqu’un (un secret partagé).
    — Ce que l’on est. Exemple classique : la biométrie, la pièce d’identité…
    — Ce que l’on possède. Ça peut être une clé de porte, un certificat informatique (comme une clé GPG), ou bien un compte mail, comme décrit ici. La différence, dans ce dernier cas, est qu’on « possède » rarement le compte. Il est généralement fourni par son FAI, ou par une grosse société américaine dont le modèle économique est la revente des informations de ses utilisateurs. Dans ces cas-là, n’importe quel admin ayant accès au compte mail peut réussir une authentification à votre place, et celle-ci est donc compromise. Par ailleurs, et sans même être administrateur, cela revient à centraliser plusieurs authentifications sous un compte mail. Si celui-ci vient à être compromis (parce qu’il possède un mot de passe trop faible, ou une fonctionnalité de récupération par le biais d’une question « secrète »), ce sont tous les accès qu’il offre qui le sont également.

    Donc, simplement passer par le mail est une très mauvaise idée. Pas fiable du tout. Pour offrir une authentification sérieuse, il y a cependant des alternatives possibles :

    — L’utilisation d’un certificat SSL client, généré par le navigateur. C’est une authentification par «ce que l’on possède ». L’utilisateur peut choisir de protéger ce certificat par une passphrase, ce qui renforce sa fiabilité (il s’agit alors d’une authentification forte, car basée sur au moins deux catégories d’authentification).
    — L’utilisation d’un token. Il s’agit d’appareils affichant à la demande un mot de passe unique, qu’il convient ensuite de recopier dans le champ. Le service auquel on se connecte fera alors la vérification, et saura prouver que le mot de passe a bien été généré par votre token et seulement lui, et également que le mot de passe entré n’aura jamais été utilisé. Ce qui permet d’empêcher le vol et la réutilisation de mot de passe.
    — L’utilisation de Yubikey ou d’un appareil semblable. Il agit de la même façon qu’un token, à la différence près qu’il se branche en USB, et simule un clavier par appui sur un bouton, ce qui tape automatiquement le mot de passe unique.

  • Avatar_thumb
    Mael

    le 04/10/2012 | #6

    C'est une solution originale, mais qui selon moi pose quelques inconvénients.
    1. Tout d'abord un problème d'accessibilité. Il est moins évident de naviguer entre les onglets du navigateur (navigateur / client de messagerie) pour les personnes mal voyantes que d'utiliser un formulaire bien formé (accessible).
    2. C'est un peu tiré par les cheveux, mais cela m'est arrivé. J'ai une adresse orange. Je ne peux pas me connecter à mon adresse orange si je suis sur un réseau livebox (orange) d'une autre personne. Ils ont peut être corrigé ce problème depuis le temps. J'avais donc Internet (logique) mais aucun accès à mes mails et donc à mon lien de connexion.

  • Avatar_thumb
    cedric

    le 04/10/2012 | #7

    La restriction reste le fait d'avoir une boite mail sous la main . Devoir rouvrir une autre onglet pour avoir le lien . Cela multiplie le nombre de clique avant d'arriver à son compte.

    Néanmoins j'aime bien l'idée . En effet le bon vieux couple login/pwd est à revoir et peut être amélioré .

  • Avatar_thumb
    David

    le 04/10/2012 | #8

    Mozilla a justement lancé quelque chose de similaire: https://login.persona.org/

  • Avatar_thumb
    Benjamin SANCHEZ

    le 04/10/2012 | #9

    @jb, @riless, @gurvan, @mael:
    Il faut effectivement toujours accès a sa boite mail, et donc se connecter à ses mails (mot de passe, complications, ...). C'est un peu déplacer le problème d'un point a un autre, pour certains utilisateurs qui n'ont pas leur webmail toujours ouverte. Il serait peut être possible de masquer ces aspects avec une webmail pensée pour, mais à l'heure actuelle, ça reste problématique.

    @Gordon:
    Certains sites (gmail par exemple) permettent déjà une connexion via un token envoyé par SMS. C'est effectivement plus sécurisant, mais demande au fournisseur du service l'envois de beaucoup de SMS (et au visiteur de savoir ou est son téléphone). Reste yubikey, (pas applicable partout, genre iPad), certificat SSL (et en cas de simple connexion rapide sur un poste public ?). L'email est loin d’être la bonne solution aussi, comme tu (et les autres) l'explique très bien. À l'heure actuelle, aucune solution n'est pleinement satisfaisante, malheureusement. La solution viendra peut être des services comme Persona ou oAuth? (Tu ne t'es pas exprimé dessus, que pense tu de ce genre de services?).

    Juste en remarque par rapport a la sécurité: La plupart des sites proposent actuellement d'envoyer un mail pour changer de mot de passe. Perdre son mot de passe a l'heure actuelle signifie déjà très souvent perdre tout les comptes associés.

  • Avatar_thumb
  • Avatar_thumb
    rivsc

    le 04/10/2012 | #11

    En ce qui me concerne je trouve l'idée très originale et applicable. (Pour mes prochaines applications).

    L'avantage avoir une adresse email fonctionnelle. Pas de mot de passe à retenir en plus de sa boite mail. Le problème essentiel c'est celui mentionné par Jb : si le mail n'arrive pas...

  • Avatar_thumb
    gordon

    le 04/10/2012 | #12

    Il est vrai que les méthodes alternatives présentées ne sont pas parfaites, loin de là. Elles requièrent notamment un environnement contrôlé (à part pour le token).
    La sécurité est l’inverse de la praticité, c’est une formule classique. Il faut donc faire un compromis entre une sécurité optimale et une utilisation parfaitement ergonomique et pratique pour l’utilisateur. Pour ta question, je ne connais pas Persona, mais oAuth est à la fois une bonne et une mauvaise solution :

    Bonne, car elle centralise en un endroit théoriquement sûr des informations personnelles. Il est très chiant de devoir modifier un à un tous ses comptes utilisateur pour prendre en compte un changement d’adresse, par exemple. Et ça évite d’avoir à retenir une grande quantité de passwords (et donc de les écrire parce qu’on ne peut tous les retenir).

    Et mauvaise, car évidemment, si le compte central est compromis, tous les comptes rattachés le sont aussi.

  • Avatar_thumb
    Pierre-Adrien

    le 04/10/2012 | #13

    Sur le fond, oui pourquoi pas. En revanche, être obligé de passer à chaque fois par ma boite mail, retrouver le mail qui contient le lien, cliquer dessus pour me connecter... Comment dire, c'est un peu galère. Et encore, je sais me servir d'un mail, les bookmarker etc. Un utilisateur lambda va remonter page par page pour retrouver son mail ? Pas sûr qu'il continue à faire l'effort de se connecter à chaque fois.

  • Avatar_thumb
    Arnaud Lemercier

    le 04/10/2012 | #14

    Bonjour,

    Je crois que GMAIL a essayé de mettre ça en place mais ils ont rencontrés des problèmes :)
    Je plaisante ...

    La problématique des mots de passe est réelle mais il n'existe aucune solution parfaite.
    J'aime bien la gestion de l'identité par le navigateur (Ex persona de Mozilla ou Google Chrome pour Android avec le compte Google).

    Pour l'histoire des mails et des URL d'authentification. Il ne faut pas oublier quelques points de sécurité :
    - Un envoi de mail passe par de nombreux acteurs (Serveur WEB, Serveur SMTP, Relay, Hébergeur, ...)
    - Un boite mail peut-être partagée par plusieurs personnes
    - L'utilisation d'une boite mail peut-être déléguée à une personne tiers (durant les vacances d'un salarier par exemple)
    - Une boite mail peut être supprimée (Départ d'un salarier, changement de FAI, non respect des conditions d'utilisation, ...)
    - L'envoi d'un email n'est jamais garanti, il peut échouer ou être retardé
    - Une URL peut-être loggée à plusieurs endroits (Proxy, Analytics, ...)
    - Attention au risque de phishing. On voit déjà arriver les faux mails vous invitant à vous connecter ...

    L'idée de ne pas avoir de mot de passe est intéressante mais ne doit pas forcement se faire par email. Google a d'ailleurs proposer une double authentification : une par mot de passe et une seconde par SMS ou application smartphone ( ou PC).

    A suivre...

  • Avatar_thumb
    Ariel DOROL

    le 04/10/2012 | #15

    Intéressante idée mais comme cité plus haut pas assez pratique niveau expérience utilisateur. Il suffit que la boîte mail ne soit pas accessible et c'est fichu...

    Persona, Oauth, Google connect, Facebook connect etc. sont de bonnes et mauvaises solutions.

    Bonne car un seul mot de passe à retenir

    Mauvaise car le jour ou le service tiers ( Persona, Oauth... ) plante ou n'est pas accessible pour X raison (car ce sont de gros sites qui proposent ces services donc peu de risques de plantage) vous ne pouvez plus vous connecter aux sites qui eux font appel à une connexion par site tiers.

    Le ssl est peut-être la solution la moins risquée pour l'instant

  • Avatar_thumb
    Sabrina

    le 05/10/2012 | #16

    C'est une idée qui tient la route par certains aspects, mais un peu moins par d'autres. Pour l'instant quoi qu'il arrive, on en est toujours au même point, il faut toujours se souvenir de quelque chose et se connecter à certaines choses. C'est vrai qu'il y a aussi les outils de gestion de mots de passe, mais c'est assez risqué je trouve. Bref, la route est encore longue pour simplifier vraiment tout ça.

  • Avatar_thumb
    Marine

    le 10/10/2012 | #17

    Je trouve l'idée excellente!!! Beaucoup naviguent avec leur messagerie ouverte dans un onglet, ou outlook (en entreprise) ouvert aussi.
    Un gros gain de temps pour les personnes un peu habituées à surfer.
    Apres, pour des personnes utilisant peu Internet (séniors, ou autres), OK, autant garder le système classique!!!!!

  • Avatar_thumb
    CCV

    le 18/10/2012 | #18

    ce principe existe depuis bien longtemps et est déjà utilisé sur de nombreux sites (surtout es services sans continuité dans le temps : par exemple un service d'aide au déménagement c'est plus imple d'accéder à ses données via un mail que l'on garde précieusement plutot que de recréer un compte avec MDP...

  • Avatar_thumb
    micro man

    le 24/10/2012 | #19

    Bonjour

    celui qui oublie son mot de passe sur un site
    oublie aussi celui de sa messagerie
    et son passe windows === des boulets
    alors n'importe qui se connecte avec un mail
    qu'il peut récupérer partout bonjour les tables mysql volées par des hackers
    avec des milliers d'adresses valides pas sérieux leur truc ...
    pas sérieux du tout ... incitation à la fainéantise et l'assistanat mentale

    md5 sha1 des3

    ++ les webmasters

  • Avatar_thumb
    Citron bleu

    le 24/10/2012 | #20

    Intéressant mais cela implique d'avoir une boîte mail ouverte en permanence. Je crois qu'en lieu et place du mot de passe, un support physique pourrait nous aider à nous identifier. Par exemple un « dongle » à utiliser ou une clé usb qui, une fois introduite nous permettrai d’accéder en clair et sans login à nos informations.

  • Avatar_thumb
    JenniferA

    le 04/06/2013 | #21

    bonjour
    est ce possible d acceder au compte facebook sans devoir entrer le mot de passe tout en ayant la boite mail associée ouverte? (outlook)

  • Avatar_thumb
    rock shox dart 3 caracteristicas

    le 08/12/2014 | #22

    Wonderful blog! I found it while browsing on Yahoo News. Do you have any tips on how to get listed in Yahoo News? I've been trying for a while but I never seem to get there! Thanks

Ecrire un commentaire

captcha

Ouvrir