Magic Links: augmenter sa rétention client grâce à une expérience d’authentification simple et rapide
by Malo Jamain, Business Developer
Comptes multiples : la problématique de gestion des authentifications
Selon une étude de Digital Guardian, rien qu'aux États-Unis, l'adresse email moyenne est associée à 130 comptes en ligne différents. Si nous supposons que l’américain moyen suit les bonnes pratiques pour sécuriser ses comptes, on s’attend à ce que chacun de ces comptes possède un mot de passe à la fois unique et difficile à deviner. Malheureusement, cette hypothèse ne se vérifie pas puisque plus de 60 % des participants à l’enquête ont admis avoir réutilisé leurs mots de passe sur plusieurs plateformes. Ces statistiques ne varient pas significativement par rapport au reste du monde.
Compte tenu de la multitude de comptes en ligne, il est irréaliste de s’attendre à ce que les utilisateurs se souviennent de centaines de mots de passe forts et uniques. Dans la même enquête, environ 39 % des participants écrivent leurs mots de passe sur un morceau de papier, ce qui n'est clairement pas une pratique de sécurité judicieuse.
De plus, environ 28 % utilisent un gestionnaire de mots de passe sécurisé. Avec un gestionnaire de mots de passe, il vous suffit de mémoriser un seul mot de passe pour accéder à un coffre-fort d'autres mots de passe.
Mais même les gestionnaires de mots de passe ne peuvent pas résoudre entièrement les défis liés aux difficultés d’authentification et de connexion rencontrés par les utilisateurs, étant donné qu’ils sont fréquemment ciblés par les pirates.
La récente faille de sécurité chez LastPass en est une illustration claire, et il y en a d’autres. Bien que les gestionnaires de mots de passe offrent une certaine défense contre les attaques basées sur les mots de passe, ils restent sensibles à d'autres types de menaces comme le phishing ou les logiciels malveillants. Si la base de données d'un gestionnaire de mots de passe est compromise, tous les mots de passe de l'utilisateur pourraient être exposés.
De toute évidence, la surcharge des mots de passe constitue un énorme problème pour les utilisateurs.
En tant que fournisseur de services, que vous disposiez d'un site web ou d'une application SaaS, s'appuyer sur un processus d'authentification par mot de passe est non seulement fastidieux en termes de gestion des identités, mais vous expose également à plusieurs vulnérabilités de sécurité telles que des violations de bases de données.
Face aux défis posés par la surcharge des mots de passe, il existe une solution qui offre une solution transparente tant aux utilisateurs qu’aux fournisseurs de services et c'est presque magique !
Croyez-vous à la magie ? Découvrez la méthode d’authentification la plus simple
L'authentification magic link est une méthode d'authentification sans mot de passe qui permet aux utilisateurs d'accéder à un site web ou à une application à l'aide d'une URL unique à usage unique, envoyée à leur adresse email enregistrée. En adoptant l'authentification sans mot de passe magic link, de nombreux problèmes potentiels peuvent être évités sans compromettre la sécurité ou l'expérience utilisateur. Les attaques courantes auxquelles sont confrontés les fournisseurs de services, telles que le phishing, le keylogging et les violations de bases de données, sont atténuées grâce à un système d'authentification sans mot de passe.
Avec cette méthode d’authentification, l'utilisateur n'a pas besoin de passer par un processus d'inscription fastidieux dans lequel il devra créer un mot de passe, avec au moins 12 caractères, une lettre majuscule, un caractère spécial, un chiffre, etc. De plus, pour le fournisseur de services, cela lui permet de donner à ses utilisateurs un moyen simple et rapide d'accéder au service sans avoir besoin de stocker des mots de passe.
Le magic link de Slack est largement reconnu comme l'un des exemples les plus marquants. La société mise tout sur l'aspect « magique », en soulignant l'action d'un coup de baguette magique, comme vous pouvez le voir sur l'image ci-dessous.
Magic link : comment la magie opère-t-elle en pratique ?
Les magic links sont similaires à la configuration d'un mot de passe à usage unique (OTP ou One Time Password) pour l'authentification, et ils suivent le même flux qu'un flow « Mot de passe oublié ».
C'est ainsi que la magie opère : l'utilisateur visite votre application ou votre site web, une page exigeant une adresse email valide s’affiche afin de commencer l'authentification. Une fois que l’utilisateur saisit cette adresse email, votre base de données génère et enregistre un token unique (dans votre base de données) qui est ensuite transformé en « lien magique ». Ce « lien magique » est ensuite envoyé à l’adresse email fournie par l’utilisateur demandant l’accès. Une fois le lien cliqué, votre site web vérifie le jeton sous-jacent au lien avec le jeton stocké précédemment dans votre base de données. Si les deux jetons sont égaux, l'accès est accordé !
D'un autre côté, si un utilisateur n'est pas trouvé, l'accès est refusé et rien de plus ne se passe.
Cela semble presque trop beau pour être vrai, non ? Il y a de fortes chances que vous ayez déjà mis en œuvre un flux similaire lorsque les utilisateurs oublient leur mot de passe et demandent à réinitialiser leur mot de passe, sauf, bien sûr, sans l'étape supplémentaire de définition d'un mot de passe.
Mais il y a bien plus encore.
Les bénéfices de l’utilisation du magic link : une expérience utilisateur améliorée
Voici quelques-uns des avantages les plus courants de l’adoption du magic link dans votre processus d’authentification :
-
Authentification, déploiement et utilisation simplifiés : l'introduction de magic links dans votre processus d'authentification implique d'apporter des ajustements mineurs au code, similaires aux réinitialisations de mot de passe, et peut être effectué sans encourir de coûts supplémentaires.
-
Onboarding simple : la connexion par magic link permet aux utilisateurs de ne plus avoir à créer de mot de passe lors de l'inscription, ce qui permet d'accéder plus rapidement à votre flux d’onboarding. Lorsque les utilisateurs fournissent leur adresse email valide et cliquent sur le lien magique que vous leur enverrez pour s'inscrire à votre service, vous créez un processus d’onboarding simple et accueillant sur votre solution. Cela simplifie un processus d'inscription autrefois compliqué en regroupant l'inscription et la connexion au compte en une seule action transparente. Plus tard dans le parcours client, vous devrez collecter d'autres données, mais si votre objectif principal est les conversions ou les inscriptions des clients, les liens magiques sont d’une grande aide.
-
Problèmes de connexions moins importants : Lorsque vous échangez une connexion par mot de passe contre une connexion par magic link, vous commencez immédiatement à bénéficier d’une réduction des frais engendrés par la gestion et la maintenance de votre authentification. Vous passerez moins de temps à gérer les alertes de sécurité liées aux échecs de connexion et vous n’aurez pas besoin de répondre à de nouvelles demandes de mot de passe.
-
Adoption accrue de votre application : Comme le disait le grand philosophe grec Aristote : « Bien commencé, c’est à moitié fait ». Lorsque les utilisateurs vivent une expérience positive grâce à votre connexion par magic link, ils sont plus susceptibles de continuer à utiliser votre site web ou votre application. Avec les magic links, vous aidez vos clients à rester fidèles à votre plateforme et à sécuriser une base de fans fidèle.
-
Expérience utilisateur et authentification facile : Les magic links constituent un moyen plus rapide et plus simple pour les utilisateurs de se connecter. Ils évitent également des tâches de maintenance des mots de passe telles que la création, le stockage, et la mise à jour régulière des mots de passe.
-
Moins d'abandons de paniers, plus de conversion : En tant que propriétaire d'une plateforme de commerce utilisant une connexion par mot de passe, vous êtes probablement familier avec le phénomène courant d'abandon de panier. Les recherches montrent que près de 70 % des paniers d'achats en ligne sont abandonnés avant que l'achat ne soit finalisé. L'une des raisons à cela est que les utilisateurs peuvent oublier qu'ils ont des articles dans leur panier, ou bien ils peuvent abandonner le panier parce qu'ils ont oublié leur mot de passe, ou encore, car ils trouvent le processus de connexion trop fastidieux. En simplifiant le processus de connexion lors de l’étape de checkout, vous aurez moins de clients qui abandonnent leurs achats, ouvrant ainsi la porte à davantage de conversions, sur web et sur mobile.
-
Zéro vol de mot de passe : Dans un système sans mot de passe, il n'y a aucune violation de mot de passe, ce qui a des implications importantes, car 81 % des violations de données d'entreprise sont causées par des mots de passe faibles ou compromis.
Suggestions pour améliorer l’efficacité de vos emails de magic links
Si vous cherchez à mettre en œuvre l'authentification par magic link pour votre produit, voici quelques conseils utiles pour créer la meilleure expérience utilisateur tout en garantissant de bonnes pratiques de sécurité.
1.Rendre chaque lien magique utilisable une seule fois
Pour maintenir la sécurité et l'efficacité des magic links, il est recommandé de les configurer comme des liens à usage unique. Cela empêche le partage autorisé et non autorisé et est particulièrement avantageux lors de l’octroi de l’accès à des informations sensibles ou exclusives.
1.Activer l’authentification multifacteur (MFA)
Les liens magiques sont vulnérables au piratage si l'adresse email principale de l'utilisateur est compromise, permettant un accès non autorisé aux services et outils. Pour améliorer la sécurité, l'authentification multifacteur (MFA) est recommandée, car elle ajoute une couche de protection supplémentaire au-delà de l'accès au courrier électronique. Même si les pirates obtiennent le lien magique, ils ne pourront pas l'utiliser sans accéder à la deuxième forme d'authentification de l'utilisateur, comme un message texte, une empreinte digitale ou d'autres méthodes. Le MFA garantit que les connexions des utilisateurs restent sécurisées.
1.Fixez un délai d'expiration pour chaque lien magique, par exemple 15 minutes, afin qu'il devienne invalide
Lorsqu'un utilisateur clique sur un lien magique expiré, il sera alors dirigé vers une page où il pourra générer un nouveau lien. Alternativement, pour les systèmes internes comme OneDrive, ils peuvent avoir la possibilité de demander à un administrateur de repartager l'accès. Cette approche rend les dates d'expiration transparentes, garantissant que si un lien est volé ou partagé, il n'accordera pas un accès à long terme.
1.Avoir une ligne d'objet et un nom d’expéditeur pertinents et lisibles
Pour garantir une expérience utilisateur fluide avec les magic links, il est essentiel d'utiliser un service de livraison rapide qui place l'email contenant le lien en haut de la boîte de réception du destinataire.
Cependant, la clarté est cruciale et les utilisateurs ne doivent pas rester dans l’incertitude quant à l’objectif ou à l’expéditeur de l’email. Créer une ligne d'objet claire et utiliser un nom « De » reconnaissable sont des stratégies efficaces pour atteindre cette clarté et améliorer l'expérience utilisateur globale.
1.Gardez vos emails simples
L'objectif principal des emails magic link est de faciliter la connexion du destinataire au service ou à la plateforme concernée. Pour optimiser ces emails, évitez de submerger les destinataires avec des informations excessives ou de multiples appels à l'action.
Gardez le contenu simple, en vous concentrant uniquement sur le lien magique. Bien qu'il soit utile de fournir une brève note sur la façon de contacter l'assistance en cas de problème, placez ce message sous le lien magique pour maintenir la clarté et l'accent mis sur le processus de connexion.
1.Exigez que les liens magiques soient ouverts à l’aide du même navigateur ou appareil pour ajouter une couche de sécurité supplémentaire.
Pour renforcer la sécurité, envisagez de mettre en œuvre une exigence selon laquelle les magic links doivent être ouverts en utilisant le même navigateur ou appareil à partir duquel ils ont été initialement demandés. Cette couche de sécurité supplémentaire permet d'empêcher tout accès non autorisé et garantit que le lien est utilisé uniquement par le destinataire prévu.
Commencez à utiliser des liens magiques pour votre produit
Rendre les choses faciles pour les utilisateurs est bon pour le business. Lorsqu'il est simple de créer un compte, davantage de personnes s'inscriront. Parfois, les utilisateurs ont déjà des comptes, mais ne se connectent pas, ce qui signifie que de précieuses données sur le comportement des utilisateurs sont perdues, car ils ne peuvent pas associer la visite de cet utilisateur à leur compte. Les amener à se connecter est crucial. Si vous leur facilitez la tâche, vous aurez accès à des données importantes. De plus, les magic links fonctionnent sur différents appareils, afin que les utilisateurs puissent facilement se connecter depuis leurs tablette, ordinateur portable, ordinateur de bureau ou encore appareil mobile.
Les liens magiques peuvent en fait stimuler l'engagement des utilisateurs avec de nouvelles fonctionnalités en les dirigeant immédiatement vers de nouvelles fonctionnalités après s'être connectés avec le lien magique. Mettre en évidence les nouvelles fonctionnalités pour lesquelles tout le monde a travaillé très dur aidera les clients à profiter encore plus de l'expérience d'utilisation de votre application qu'ils ne l'ont déjà fait.
Alors, prêt à mettre un peu de « magie » dans votre authentification ? Apprenez-en davantage sur Cryptr.
Nous proposons également des fonctionnalités d’authentification multifacteur (MFA), des social logins et beaucoup d'autres produits d’authentification. Pour discuter avec nos équipes, vous pouvez réserver le créneau de votre choix en cliquant ici : Meet Cryptr.
Add enterprise SSO for free
Cryptr simplifies user management for your business: quick setup, guaranteed security, and multiple free features. With robust authentication and easy, fast configuration, we meet businesses' security needs hassle-free.