La réinitialisation du mot de passe est un outil indispensable pour offrir une bonne expérience client
Découvrez comment sécuriser vos comptes tout en minimisant les contraintes pour vos clients.
Pourquoi la réinitialisation du mot de passe joue-t-elle un rôle aussi déterminant ?
En moyenne, une adresse e-mail américaine regroupe 130 comptes. Le nombre de comptes par utilisateur double tous les cinq ans. Cette augmentation massive du nombre de comptes signifie également que les utilisateurs accumulent les mots de passe, ce qui rend inévitable l'oubli occasionnel de l'un d'entre eux.
58 % des utilisateurs admettent oublier fréquemment leur mot de passe. L'internaute moyen reçoit environ 37 e-mails de « mot de passe oublié » par an.
Ces réalités font de la réinitialisation du mot de passe une nécessité pour toute application. Cependant, développer un bon processus de réinitialisation de mot de passe ne se limite pas à poser des questions de sécurité. Si votre processus de réinitialisation du mot de passe manque de convivialité, ou nuit à l'expérience client, vous risquez de leur donner une raison de ne plus utiliser votre service.
Qu'est-ce qu'un bon processus de réinitialisation de mot de passe ?
Les bons processus de réinitialisation de mot de passe ont deux objectifs :
- Ils réduisent les contraintes pour le client. Le client ne devrait pas avoir besoin de plus d'une minute pour réinitialiser son mot de passe. Le processus ne devrait exiger que des informations que les clients peuvent saisir facilement, comme son adresse e-mail.
- Ils assurent la sécurité des informations du client. Ils fournissent des garanties contre des éléments, tels que de multiples échecs de connexion et l'envoi d'informations uniquement sur des canaux sécurisés.
L'adresse e-mail est la plus souvent utilisée pour la réinitialisation du mot de passe, car elle répond à ces deux critères. Elle limite les contraintes, car sa saisie est rapide et facile pour un client, tout en protégeant ses informations, car seul le client doit avoir accès à sa boîte de réception.
Pourquoi la réinitialisation du mot de passe est-elle si difficile à réussir ?
- Questions de sécurité – Informations statiques faciles à obtenir. Le nom de votre école primaire, le nom de jeune fille de votre mère ou même le nom de votre animal de compagnie sont probablement quelque part sur Internet, ce qui les rend accessibles aux hackers.
- Mots de passe en clair – Au lieu de réinitialiser le mot de passe, certains sites renvoient le mot de passe original au client, ce qui introduit une vulnérabilité majeure. Pour qu'un mot de passe soit envoyé en clair, il doit être stocké en clair, avec comme conséquence directe une augmentation des risques d'attaque.
- Messages d'erreur – Si une application indique qu'une adresse e-mail est enregistrée ou non, un hacker peut potentiellement savoir si un client a un compte, ce qui lui donne un élément d'information supplémentaire à exploiter contre lui. Il dispose d'une information de plus pour cibler votre client.
- Demandes d'informations inutiles – Il faut trouver l'équilibre entre sécurité et convivialité. Demander aux clients une pièce d'identité avec photo est une pratique sûre, mais son effet global sur l'expérience client est négatif.
Comment Auth0 offre une réinitialisation des mots de passe sans contraintes.
- Un système pour assurer l'enregistrement sécurisé des clients
- Un système de stockage protégé pour les informations des clients
- Une interface utilisateur intuitive où les clients peuvent accéder à votre fonction de réinitialisation
- Une fonction de réinitialisation
- Un système d'automatisation des e-mails pour envoyer les réinitialisations de mot de passe.
Avec Auth0 Lock, vous pouvez bénéficier de tous ces avantages avec une protection efficace. Parce qu'il est conçu comme une couche posée sur le framework Auth0, tout est construit pour vous. Auth0 Lock combine le processus de réinitialisation le plus simple possible avec la norme de sécurité la plus élevée. Le processus de réinitialisation ressemble à ceci :
Les clients qui ont oublié leur mot de passe cliquent simplement sur le bouton « Forgot Password » et sont dirigés vers cet écran :
Important : Allez dans Dashboard > Account Settings > Advanced pour vérifier si le bouton Change Password flow v2 est activée. Si c'est le cas, utilisez la version 9 ou ultérieure de Lock pour ce flux de réinitialisation de mot de passe.
Après avoir saisi son adresse électronique, le client verra alors cette bannière :
La bannière s'affiche même si l'adresse e-mail n'est pas enregistrée dans un compte. Cela signifie que les attaquants ne pourront pas essayer différents e-mails pour découvrir si un client particulier a ou n'a pas de compte.
Dans sa boîte de réception, le client trouvera ce type d'e-mail :
Ce lien vers un mot de passe à usage unique ne nécessite qu'un seul clic. Il garantit que le mot de passe n'est pas affiché en clair. En cliquant sur le lien, le client ouvre cet écran :
Inscription gratuite
Commencez à construire et à sécuriser vos applis dès aujourd'hui avec la plateforme d'identité Auth0.