Creative
Blog Du Webdesign
Emploi BDW
Depuis quelques mois, quelques articles, discussions, et même proof of concept et outils circulent à propos d'un nouveau type de connexion: les connexions sans mot de passe (password-less login). Récapitulatif
Le moyen de se connecter à un service n'est pas, contrairement à ce que l'on pourrait penser, quelque chose d'anodin. Sur le web, elle représente un effort important, pour l'utilisateur comme pour les créateurs du site, alors qu'elle n'apporte rien au contenu final. Peut être est-ce le temps de chercher mieux ?
Le modèle le plus lourd et contraignant est bien sur la connexion par mot de passe, c'est a dire la façon "standard" de se connecter. On entre un nom d'utilisateur, un mot de passe, et on se connecte. Cela semble simple, mais signifie en réalité :
Une autre possibilité est la connexion par Oauth ou identique (connect with facebook/twitter/google/...). Là, on a quelque chose de simple, mais avec quand même quelques restrictions :
Ben Brown, partant de ce constat, a imaginé une autre façon de se connecter: Un password-less login.
Pour se connecter, il suffirait d'entrer son mail, et le site nous envoie un message contenant le lien de connexion (un peu comme le lien mot de passe oublié). Cliquer sur ce lien nous connecte, et nous restons connecté jusqu'à ce que nous nous déconnections.
Les inconvénients:
Évidemment, certains diront que si quelqu'un accède à une boite mail il accède à tous les services associés, mais c'est déjà un peu le cas.
Et bien oui, voilà un exemple fonctionnel
(Dispo sur Github)
Et vous, que pensez vous de cette idée? Auriez vous envie de l'essayer, ou avez vous des contre-indications?
Rejoignez la communauté des créatifs du web !
- Partagez vos créations
- Gagnez en visibilité
- Créez votre blog facilement
> En savoir plus
Auteur : SANCHEZ Benjamin
voir son blog
Développeur autodidacte depuis quelques années, déjà, je suis le développeur du blog du webdesign, où mon rôle est de concretiser les différentes idées et maquettes.
le 04/10/12| #2
pas très ingénieux son truc: non seulement il faudra renseigner son adresse email dans le site en question, mais il faudra encore le faire pour nous connecter à notre boite mail (en plus du mot de passe), et puis enfin chercher le lien qui nous permettrais de nous connecter (donc jongler entre les anglets au moins 3 fois.)
pas très astucieux à mon avis.
le 04/10/12| #3
Pour info des addons sont disponible pour Drupal & Wordpress pour gérer ce fonctionnement (je ne sais pas pour les autres CMS, je ne travaille que sur ces 2 outils en ce moment)
http://drupal.org/project/passwordless
http://wordpress.org/extend/plugins/passwordless/
le 04/10/12| #5
Il faut pousser la réflexion un peu plus loin. Pour authentifier quelqu’un, on a toujours eu plusieurs méthodes, classées en 3 catégories principales :
— Ce que l’on sait. Ça peut être un mot de passe, ou bien une connaissance d’un fait, que l’on partage avec quelqu’un (un secret partagé).
— Ce que l’on est. Exemple classique : la biométrie, la pièce d’identité…
— Ce que l’on possède. Ça peut être une clé de porte, un certificat informatique (comme une clé GPG), ou bien un compte mail, comme décrit ici. La différence, dans ce dernier cas, est qu’on « possède » rarement le compte. Il est généralement fourni par son FAI, ou par une grosse société américaine dont le modèle économique est la revente des informations de ses utilisateurs. Dans ces cas-là, n’importe quel admin ayant accès au compte mail peut réussir une authentification à votre place, et celle-ci est donc compromise. Par ailleurs, et sans même être administrateur, cela revient à centraliser plusieurs authentifications sous un compte mail. Si celui-ci vient à être compromis (parce qu’il possède un mot de passe trop faible, ou une fonctionnalité de récupération par le biais d’une question « secrète »), ce sont tous les accès qu’il offre qui le sont également.
Donc, simplement passer par le mail est une très mauvaise idée. Pas fiable du tout. Pour offrir une authentification sérieuse, il y a cependant des alternatives possibles :
— L’utilisation d’un certificat SSL client, généré par le navigateur. C’est une authentification par «ce que l’on possède ». L’utilisateur peut choisir de protéger ce certificat par une passphrase, ce qui renforce sa fiabilité (il s’agit alors d’une authentification forte, car basée sur au moins deux catégories d’authentification).
— L’utilisation d’un token. Il s’agit d’appareils affichant à la demande un mot de passe unique, qu’il convient ensuite de recopier dans le champ. Le service auquel on se connecte fera alors la vérification, et saura prouver que le mot de passe a bien été généré par votre token et seulement lui, et également que le mot de passe entré n’aura jamais été utilisé. Ce qui permet d’empêcher le vol et la réutilisation de mot de passe.
— L’utilisation de Yubikey ou d’un appareil semblable. Il agit de la même façon qu’un token, à la différence près qu’il se branche en USB, et simule un clavier par appui sur un bouton, ce qui tape automatiquement le mot de passe unique.
le 04/10/12| #6
C'est une solution originale, mais qui selon moi pose quelques inconvénients.
1. Tout d'abord un problème d'accessibilité. Il est moins évident de naviguer entre les onglets du navigateur (navigateur / client de messagerie) pour les personnes mal voyantes que d'utiliser un formulaire bien formé (accessible).
2. C'est un peu tiré par les cheveux, mais cela m'est arrivé. J'ai une adresse orange. Je ne peux pas me connecter à mon adresse orange si je suis sur un réseau livebox (orange) d'une autre personne. Ils ont peut être corrigé ce problème depuis le temps. J'avais donc Internet (logique) mais aucun accès à mes mails et donc à mon lien de connexion.
le 04/10/12| #7
La restriction reste le fait d'avoir une boite mail sous la main . Devoir rouvrir une autre onglet pour avoir le lien . Cela multiplie le nombre de clique avant d'arriver à son compte.
Néanmoins j'aime bien l'idée . En effet le bon vieux couple login/pwd est à revoir et peut être amélioré .
le 04/10/12| #8
Mozilla a justement lancé quelque chose de similaire: https://login.persona.org/
le 04/10/12| #9
@jb, @riless, @gurvan, @mael:
Il faut effectivement toujours accès a sa boite mail, et donc se connecter à ses mails (mot de passe, complications, ...). C'est un peu déplacer le problème d'un point a un autre, pour certains utilisateurs qui n'ont pas leur webmail toujours ouverte. Il serait peut être possible de masquer ces aspects avec une webmail pensée pour, mais à l'heure actuelle, ça reste problématique.
@Gordon:
Certains sites (gmail par exemple) permettent déjà une connexion via un token envoyé par SMS. C'est effectivement plus sécurisant, mais demande au fournisseur du service l'envois de beaucoup de SMS (et au visiteur de savoir ou est son téléphone). Reste yubikey, (pas applicable partout, genre iPad), certificat SSL (et en cas de simple connexion rapide sur un poste public ?). L'email est loin d’être la bonne solution aussi, comme tu (et les autres) l'explique très bien. À l'heure actuelle, aucune solution n'est pleinement satisfaisante, malheureusement. La solution viendra peut être des services comme Persona ou oAuth? (Tu ne t'es pas exprimé dessus, que pense tu de ce genre de services?).
Juste en remarque par rapport a la sécurité: La plupart des sites proposent actuellement d'envoyer un mail pour changer de mot de passe. Perdre son mot de passe a l'heure actuelle signifie déjà très souvent perdre tout les comptes associés.
le 04/10/12| #10
La vrai solution est peut être du côté de mozilla : http://www.futura-sciences.com/fr/news/t/internet/d/persona-de-mozilla-pour-ne-plus-avoir-quun-seul-mot-de-passe_41581/
le 04/10/12| #11
En ce qui me concerne je trouve l'idée très originale et applicable. (Pour mes prochaines applications).
L'avantage avoir une adresse email fonctionnelle. Pas de mot de passe à retenir en plus de sa boite mail. Le problème essentiel c'est celui mentionné par Jb : si le mail n'arrive pas...
le 04/10/12| #12
Il est vrai que les méthodes alternatives présentées ne sont pas parfaites, loin de là. Elles requièrent notamment un environnement contrôlé (à part pour le token).
La sécurité est l’inverse de la praticité, c’est une formule classique. Il faut donc faire un compromis entre une sécurité optimale et une utilisation parfaitement ergonomique et pratique pour l’utilisateur. Pour ta question, je ne connais pas Persona, mais oAuth est à la fois une bonne et une mauvaise solution :
Bonne, car elle centralise en un endroit théoriquement sûr des informations personnelles. Il est très chiant de devoir modifier un à un tous ses comptes utilisateur pour prendre en compte un changement d’adresse, par exemple. Et ça évite d’avoir à retenir une grande quantité de passwords (et donc de les écrire parce qu’on ne peut tous les retenir).
Et mauvaise, car évidemment, si le compte central est compromis, tous les comptes rattachés le sont aussi.
le 04/10/12| #13
Sur le fond, oui pourquoi pas. En revanche, être obligé de passer à chaque fois par ma boite mail, retrouver le mail qui contient le lien, cliquer dessus pour me connecter... Comment dire, c'est un peu galère. Et encore, je sais me servir d'un mail, les bookmarker etc. Un utilisateur lambda va remonter page par page pour retrouver son mail ? Pas sûr qu'il continue à faire l'effort de se connecter à chaque fois.
le 04/10/12| #14
Bonjour,
Je crois que GMAIL a essayé de mettre ça en place mais ils ont rencontrés des problèmes :)
Je plaisante ...
La problématique des mots de passe est réelle mais il n'existe aucune solution parfaite.
J'aime bien la gestion de l'identité par le navigateur (Ex persona de Mozilla ou Google Chrome pour Android avec le compte Google).
Pour l'histoire des mails et des URL d'authentification. Il ne faut pas oublier quelques points de sécurité :
- Un envoi de mail passe par de nombreux acteurs (Serveur WEB, Serveur SMTP, Relay, Hébergeur, ...)
- Un boite mail peut-être partagée par plusieurs personnes
- L'utilisation d'une boite mail peut-être déléguée à une personne tiers (durant les vacances d'un salarier par exemple)
- Une boite mail peut être supprimée (Départ d'un salarier, changement de FAI, non respect des conditions d'utilisation, ...)
- L'envoi d'un email n'est jamais garanti, il peut échouer ou être retardé
- Une URL peut-être loggée à plusieurs endroits (Proxy, Analytics, ...)
- Attention au risque de phishing. On voit déjà arriver les faux mails vous invitant à vous connecter ...
L'idée de ne pas avoir de mot de passe est intéressante mais ne doit pas forcement se faire par email. Google a d'ailleurs proposer une double authentification : une par mot de passe et une seconde par SMS ou application smartphone ( ou PC).
A suivre...
le 04/10/12| #15
Intéressante idée mais comme cité plus haut pas assez pratique niveau expérience utilisateur. Il suffit que la boîte mail ne soit pas accessible et c'est fichu...
Persona, Oauth, Google connect, Facebook connect etc. sont de bonnes et mauvaises solutions.
Bonne car un seul mot de passe à retenir
Mauvaise car le jour ou le service tiers ( Persona, Oauth... ) plante ou n'est pas accessible pour X raison (car ce sont de gros sites qui proposent ces services donc peu de risques de plantage) vous ne pouvez plus vous connecter aux sites qui eux font appel à une connexion par site tiers.
Le ssl est peut-être la solution la moins risquée pour l'instant
le 05/10/12| #16
C'est une idée qui tient la route par certains aspects, mais un peu moins par d'autres. Pour l'instant quoi qu'il arrive, on en est toujours au même point, il faut toujours se souvenir de quelque chose et se connecter à certaines choses. C'est vrai qu'il y a aussi les outils de gestion de mots de passe, mais c'est assez risqué je trouve. Bref, la route est encore longue pour simplifier vraiment tout ça.
le 10/10/12| #17
Je trouve l'idée excellente!!! Beaucoup naviguent avec leur messagerie ouverte dans un onglet, ou outlook (en entreprise) ouvert aussi.
Un gros gain de temps pour les personnes un peu habituées à surfer.
Apres, pour des personnes utilisant peu Internet (séniors, ou autres), OK, autant garder le système classique!!!!!
le 18/10/12| #18
ce principe existe depuis bien longtemps et est déjà utilisé sur de nombreux sites (surtout es services sans continuité dans le temps : par exemple un service d'aide au déménagement c'est plus imple d'accéder à ses données via un mail que l'on garde précieusement plutot que de recréer un compte avec MDP...
le 24/10/12| #19
Bonjour
celui qui oublie son mot de passe sur un site
oublie aussi celui de sa messagerie
et son passe windows === des boulets
alors n'importe qui se connecte avec un mail
qu'il peut récupérer partout bonjour les tables mysql volées par des hackers
avec des milliers d'adresses valides pas sérieux leur truc ...
pas sérieux du tout ... incitation à la fainéantise et l'assistanat mentale
md5 sha1 des3
++ les webmasters
le 24/10/12| #20
Intéressant mais cela implique d'avoir une boîte mail ouverte en permanence. Je crois qu'en lieu et place du mot de passe, un support physique pourrait nous aider à nous identifier. Par exemple un « dongle » à utiliser ou une clé usb qui, une fois introduite nous permettrai d’accéder en clair et sans login à nos informations.
Magazine Webdesign, Tendance Web, Webdesign et Actualité Graphique. Suivez nos Articles rédigés avec soin sur les thèmes du Motion Design et de l'actualité du Web ! Suivez le Blog du Webdesign, suivez le Magazine du Webdesign !
En Savoir Plus
le 04/10/12| #1
Et si le mail n'arrive pas pour X raisons, pas de connexion