L’utilisation des mots de passe se révèle très souvent être un problème dans l’expérience utilisateur. Alors comment simplifier la création des mots de passe, ou comment réduire leur fréquence de saisie ?
On peut prendre exemple sur la Suède pour beaucoup de choses, sauf peut-être en termes… de création de mot de passe. Et oui, si nos voisins suédois sont éco-friendly et très avancés sur les questions d’égalité, on peut difficilement prendre exemple sur eux en ce qui concerne la sécurité de leur mot de passe. En effet, récemment une campagne marketing a communiqué sur les mots de passe les plus utilisés en Suède, et on y retrouve : “123456” ; “dick” ou encore “ shit”.
Campagne d’affichage publique de la SSF, organisme suédois qui sensibilise à plus de sécurité sur Internet.
Revenons sur la création du mot de passe. A l’origine, le mot de passe a été créé dans un contexte militaire pour faciliter la reconnaissance entre groupes en temps de guerre. Le mot de passe était partagé et permettait de s’authentifier pour éviter de se faire tirer dessus. Si le but d’un mot de passe est de protéger des données, l’avènement d’internet a compliqué de plus en plus son processus de création, en forçant les utilisateurs à redoubler de créativité pour trouver un mot de passe à la fois sécurisé et facile à retenir.
Bill Burr, ancien directeur de l’Institut National des Standards et de la Technologie, en est d’ailleurs largement responsable. Il a rédigé en 2003 un guide pour créer un mot de passe sécurisé destiné à l’administration US. Aujourd’hui, il regrette la publication de ce guide pour plusieurs raisons. En effet, il avait conseillé de créer son mot de passe avec une variation de lettres minuscules et majuscules, des caractères spéciaux et des numéros pour qu’il soit plus sécurisé. Or, cette recommandation n’était basée sur aucune étude ou recherches quelconque. Idem pour la règle qui préconisait de renouveler son mot de passe tous les 3 mois, qui en fait n’est pas pertinente (car la plupart du temps les utilisateurs changent un seul caractère).
Au fur et à mesure des années, des études ont été réalisées et elles ont démontré qu’un ordinateur aura plus de mal à déchiffrer les mots de passe longs avec un mélange aléatoire de mots, que des mots de passe courts sans réelle signification et avec des caractères spéciaux. Pour vous donner un ordre d’idée, il faudrait 550 ans à un ordinateur pour déchiffrer un mot de passe du type “je suis une femme” contre 3 jours pour un mot de passe du type “pr0t3cT3d4!”
Plusieurs études ont montré que le nombre d’utilisateurs quittant le tunnel d’achat d’un site e-commerce augmente lorsqu’il fallait créer ou rentrer un mot de passe. Andrey Lipattsev de Google a déclaré en 2017 que 54% des personnes quittent le tunnel d’achat lorsqu’ils doivent s’inscrire. Et c’est encore pire sur mobile, où 92% des utilisateurs abandonnent leur panier s’ils ne se rappellent pas leur mot de passe ou leur nom d’utilisateur. Des chiffres démontrant clairement la frustration de nombreux utilisateurs à l’idée de devoir créer (encore) un nouveau mot de passe, avec toutes les recommandations de sécurité minimales imposées, sans parler du potentiel impact business pour les sites ?
Alors, comment combiner expérience utilisateur agréable et sécurité ? C'est une question que nous nous posons régulièrement en tant qu'agence UX e-commerce.
Expérience utilisateur et sécurité, deux notions antagonistes ? Pas forcément, mais comment les concilier pour ne pas décourager les utilisateurs ?
Laisser le choix du facteur d’authentification à l’utilisateur serait un bon moyen de lui faciliter la vie. En effet, il choisirait lui-même le mode d’authentification qui lui conviendrait. On distingue différents types d’authentification :
L’authentification classique
(par mot de passe “classique”)
L’authentification à double facteur
une authentification forte, renforçant la sécurité du compte utilisateur, en exigeant une authentification multiple
C’est un processus de sécurité par lequel l’utilisateur fournit deux modes d’identification. Cette double authentification peut se faire via une information que l’utilisateur connaît, comme un code (le NIP par exemple) ou mot de passe, un appareil que l’utilisateur possède, ou encore un élément” inhérent” à l’utilisateur comme une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris.
L’authentification déléguée
Favoriser l’utilisation des comptes existants pour s’authentifier/s’inscrire est un mode d’authentification assez courant. C’est ce qu’on appelle le social login c’est-à-dire la possibilité de se connecter via un compte Facebook, Google, Twitter ou Linkedin.
Se connecter avec des comptes existants facilite l’accès au service et simplifie le processus de création. Bref, c’est un gain de temps considérable pour beaucoup d’utilisateurs.
Entre 2011 et 2015, Janrain, fournisseur de logiciels de gestion des profils clients et des identités dans le cloud, a réalisé des études trimestrielles auprès de consommateurs européens à propos de l’authentification sociale. D’après une étude datant de 2015, 67% des personnes interrogées jugent les sociétés offrant cette possibilité comme plus modernes et innovantes. De plus, 30% des répondants apprécient de ne pas avoir à retenir un énième mot de passe et estiment avoir une expérience utilisateur plus positive et plus simplifiée. Par ailleurs, ce mode d’authentification permet aux sites d’avoir à disposition des données que mettent volontairement les consommateurs sur leurs réseaux sociaux et donc leur permet d’engager une expérience utilisateur personnalisée. Toujours dans cette même étude, 67% des personnes interrogées sont plus susceptibles de revenir sur un site web qui se souvient d’eux sans leur demander de saisir leur nom d’utilisateur ou leur mot de passe. En effet, les consommateurs sont plus susceptibles de s’engager si une fonction de social login est disponible. Le site de e-commerce Asos a été un des 1ers sites e-commerce à mettre en place le social login en remplacement du mode invité. Une façon de s’adapter au mieux à leur cible, les millenials. Le but était d’augmenter les taux d’acquisition de clients et les résultats ont effectivement été considérables.
En 2019, Facebook a été accusé d’avoir stocké sur des serveurs internes les mots de passe d’une centaine de millions d’utilisateurs (depuis 2012). Ils ont été stockés à l’insu d’utilisateurs de Facebook Lite, une version du site disponible dans les régions du monde possédant une connexion internet de basse qualité. Ainsi environ 20 000 employés de Facebook ont eu accès à des centaines de millions de mots de passe pendant des années. Facebook s’est défendu en affirmant que ces mots de passe n’ont été visibles que par ses employés.
Est-ce que ce scandale, ralentira l’usage du social login en rendant les utilisateurs plus méfiants ? On peut s’interroger…
A côté de ces brèches de sécurité, ces dernières années quelques services de gestionnaires de mot de passe ont vu le jour. C’est le cas notamment de Priwony, une société aixoise qui a développé un outil permettant de contrôler et protéger ses données personnelles en ligne. Le principe est simple : créer un seul compte avec une clé secrète qui protège tous nos autres mots de passe. Dans un même registre, à une échelle internationale, Apple a conçu le trousseau IOS qui répertorie tous les mots de passe utilisés par un utilisateur pour les applications et sites web et ce sur tous les appareils connectés au même compte icloud. Pour y avoir accès, rien de plus simple, il suffit d’utiliser la touche Face ID.
Bien que certains utilisateurs considèrent l’identification biométrique comme plus simple et plus pratique que les mots de passe traditionnels, d’autres hésitent encore à sauter le pas. Pour rappel, ce mode d’authentification forte se base sur la reconnaissance vocale, digitale, faciale ou de l’iris.
Les utilisateurs de l’identification biométrique lui préfèrent ce système à des systèmes qui collectent leurs données à des fins marketing. Les plus réticents, par contre, s’inquiètent pour la confidentialité de leurs données les plus délicates : ils craignent notamment l’usurpation de leur identité. D’après une étude menée par Facefirst en 2018, 46% des répondants ont déclaré qu’ils n’étaient pas susceptibles d’acheter un appareil avec reconnaissance faciale pour aider à protéger leur vie privée. Même si une part des utilisateurs reste donc méfiants, la proportion d’adeptes de ce système d’identification reste importante, surtout auprès de ceux dont la mémoire flanche face à tous les mots de passe à retenir. En effet, d’après une étude menée en avril 2019 par Paysafe, 44% des personnes interrogées ont répondu que l’identification biométrique était plus pratique que la saisie manuelle des mots de passe pour confirmer des transactions digitales.
Nombreuses sont donc les alternatives aux mots de passe traditionnels lorsqu’il s’agit de s’identifier sur une interface, et pour lesquelles l’expérience utilisateur est bien plus satisfaisante.
Le mot de passe n’est pas qu’une simple fonctionnalité, un passage obligé, il est important dans l’expérience client. La question du mot de passe est intrinsèquement liée à celle de la création d’un compte, et donc à la relation qu’un site cherche à créer avec ses utilisateurs.
Comment gérer cette création de compte ? Comment faire face aux utilisateurs ayant de plus en plus de mal à donner leur accord pour l’utilisation de leurs données personnelles, et à ceux qui ne veulent plus retenir mot de passe et sont en quête de simplicité/rapidité ?
Beaucoup de sites e-commerce ont trouvé la solution en proposant le mode invité. Un véritable succès sur plusieurs sites e-commerce, où le taux de conversion peut augmenter de 10 à 30% sur mobile lorsque l’utilisateur a le choix entre le mode invité ou la création d’un compte pour commander en ligne. C’est une étude commandée par Amazon Pay auprès de l’institut Baymard qui révèle ces données (2017). La commande invitée est donc de loin la solution la plus efficace pour réduire les fuites liées à la création de compte.
Le mode invité est souvent peu considéré par les sites car il les prive d’une précieuse collecte d’adresses mails. Mais certains sites e-commerce arrivent à détourner ce mode invité, et les utilisateurs se retrouvent tout de même à créer un mot de passe mais à un autre moment dans le processus.
Alors, comment faire créer un compte à vos utilisateurs sans qu’ils ne s’en rendent compte ? C’est la fameuse histoire du bouton à 300 Millions de dollars chez Macy’s. Des concepteurs UX ont réalisé que le bouton “s’enregistrer” n’avait pas l’effet escompté, au contraire, il freinait les achats. Alors ce bouton a été remplacé par un bouton “continuer”. Le fonctionnement est simple : on peut effectuer nos achats normalement puis “continuer” pour passer à la caisse. Ainsi, l’utilisateur crée un compte mais au moment du paiement car il lui est proposé de s’inscrire pour accélérer le processus d’achat à la prochaine visite. Résultat, le nombre de clients achetant sur un site e-commerce a augmenté de 45%. Vous pouvez remercier Jared M. Spool, un des fondateurs d’une école de design américaine pour l’initiative.