Lors de la conférence Google I/O de cette année, nous avons expliqué comment Chrome redéfinit l'authentification des utilisateurs et la validation de l'identité sur le Web grâce à la puissance de l'API du navigateur. Que vous utilisiez des mots de passe, des clés d'accès ou la fédération, Chrome vous offrira une expérience de connexion et d'inscription unifiée, plus simple, plus sécurisée et plus conviviale.
Découvrez les derniers outils et bonnes pratiques pour améliorer l'inscription et la connexion sur votre site Web.
Consultez la page de la session ou poursuivez votre lecture pour en savoir plus sur les points forts.
Le navigateur comme allié de la connexion
L'authentification sur le Web évolue. Avec des attentes croissantes des utilisateurs, de nouvelles réglementations et un écosystème croissant d'outils d'identité numérique, les développeurs doivent proposer des flux de connexion et d'inscription sécurisés, fluides et respectueux de la confidentialité. Chrome est là pour vous aider.
Il existe trois grands axes d'action:
- Authentification des utilisateurs: vous permet de prendre en charge des flux de connexion sécurisés grâce à une meilleure gestion des mots de passe, une adoption plus facile des clés d'accès et une prise en charge intégrée de la fédération d'identité via la gestion des identifiants fédérés (FedCM).
- Validation de l'identité: vous permet de demander des informations utilisateur validées, comme l'âge ou la propriété de la pièce d'identité, à l'aide d'identifiants numériques issus de portefeuilles mobiles.
- Gestion des sessions: vous aide à protéger les utilisateurs après leur connexion en associant les sessions à leur appareil à l'aide d'identifiants de session liés à l'appareil.
Découvrez les outils et les API qui rendent tout cela possible.
Gestionnaire d'identifiants pour le Web: une interface de connexion pour tous vos identifiants
La connexion doit être pratique. Toutefois, avec les mots de passe, les clés d'accès et les options fédérées, les utilisateurs sont souvent confrontés à un mélange confus de choix.
Chrome étend l'API Gestionnaire d'identifiants, ce qui vous permet de demander des identifiants à partir du navigateur, quel que soit leur type, à l'aide d'une interface cohérente. Si des identifiants sont disponibles à partir d'un gestionnaire de mots de passe, Chrome les affiche dans une seule boîte de dialogue, ce qui simplifie la procédure pour l'utilisateur.
Si Chrome ne trouve pas d'identifiants, nous vous en informerons et vous pourrez utiliser votre propre flux de connexion.
Cette nouvelle expérience réduit les frictions et facilite la connexion.
Cette fonctionnalité est en phase de test pour les développeurs. Vous pouvez commencer à l'utiliser localement en activant l'indicateur chrome://flags#enable-experimental-web-platform-features, en incluant les identifiants password et publicKey, et en utilisant mediation: "immediate" pour activer la médiation immédiate.
L'extrait de code suivant vous montre à quoi il doit ressembler:
const cred = await navigator.credentials.get({
password: true,
publicKey: {
challenge,
rpId: 'example.com'
},
mediation: 'immediate',
});
Pour en savoir plus, consultez notre document sur le test de la médiation immédiate sur Chrome.
Mots de passe: plus intelligents et plus sécurisés
Les mots de passe restent la méthode d'authentification la plus courante dans le monde. Les navigateurs et les gestionnaires de mots de passe proposent des outils pour améliorer l'expérience de connexion avec les mots de passe, mais les sites ne les adoptent pas toujours.
Chrome encourage des pratiques plus sûres grâce à des fonctionnalités du Gestionnaire de mots de passe Google, comme la génération de mots de passe dans les formulaires d'inscription ou les vérifications de violation de mots de passe pour avertir les utilisateurs de leurs identifiants compromis.
Voici quelques outils pour améliorer l'expérience d'utilisation des mots de passe sur votre site.
Modification automatique du mot de passe: corrigez les mots de passe compromis en un clic
La modification automatique du mot de passe, qui sera lancée plus tard dans l'année sur certains sites Web, permet aux utilisateurs de répondre plus facilement lorsque leurs identifiants sont menacés.
Lorsque Chrome détecte un mot de passe compromis lors de la connexion, le Gestionnaire de mots de passe de Google propose à l'utilisateur de le corriger automatiquement.
Sur les sites Web compatibles, Chrome peut générer un mot de passe sécurisé de remplacement et le modifier automatiquement pour l'utilisateur.
Cela réduit les frictions et aide les utilisateurs à sécuriser leur compte, sans avoir à parcourir les paramètres de leur compte ni à abandonner le processus en cours.
Vous pouvez prendre certaines mesures pour optimiser votre site Web afin qu'il fonctionne en synergie avec les navigateurs et les gestionnaires de mots de passe.
- Optimisation de la saisie automatique: utilisez
autocomplete="current-password"etautocomplete="new-password"pour déclencher la saisie automatique et le stockage. Consultez nos guides sur la connexion et l'inscription. - URL de modification du mot de passe: effectuez une redirection de
<your-website-domain>/.well-known/change-passwordvers le formulaire de modification du mot de passe sur votre site Web (URL de modification du mot de passe connue). Lorsqu'un mot de passe vulnérable est détecté, les gestionnaires de mots de passe peuvent rediriger l'utilisateur vers la page de modification du mot de passe.
Partage continu d'identifiants: une seule connexion pour l'application et le Web
Les gestionnaires de mots de passe ne se contentent pas de stocker des mots de passe. Ils permettent d'éviter l'hameçonnage en n'offrant des identifiants que lorsque le domaine correspond. Toutefois, les utilisateurs peuvent toujours rencontrer des problèmes lorsque votre service s'étend sur plusieurs domaines et plates-formes.
Exemple :
- Un utilisateur s'inscrit dans votre application Android, puis visite votre site Web sur un ordinateur portable.
- ou vous proposez plusieurs domaines ou applications qui acceptent la même connexion ;
Sans identifiants partagés, nous n'offrons pas de mot de passe enregistré. Les utilisateurs peuvent donc avoir du mal à se connecter.
Le partage continu d'identifiants permet de résoudre ce problème. En associant vos applications et vos sites, le Gestionnaire de mots de passe de Google peut partager facilement le mot de passe entre ces éléments, ce qui améliore l'expérience de connexion.
eBay a augmenté son taux de connexion réussie de 10%. Découvrez-en plus dans une étude de cas : Comment eBay a amélioré ses taux de connexion de 10% grâce au partage fluide des identifiants.
Clés d'accès: une méthode de connexion plus simple et plus sécurisée
Les clés d'accès sont une alternative plus sûre aux mots de passe. Elles aident les utilisateurs à se connecter de manière sécurisée aux sites Web et aux applications à l'aide du mécanisme de déverrouillage de leur appareil, comme la biométrie (empreinte digitale ou visage, par exemple), un code ou un schéma. Elles sont résistantes au hameçonnage, conviviales et constituent une norme largement adoptée par les navigateurs et les systèmes d'exploitation.
Synchroniser les clés d'accès entre les plates-formes
Les utilisateurs stockent les clés d'accès dans leur gestionnaire de mots de passe, mais certains gestionnaires ne les synchronisent pas. Cela peut entraîner des frictions si un utilisateur tente de se connecter à partir d'un appareil sur lequel la clé d'accès n'est pas disponible. Dans ce cas, Chrome affiche un code QR afin que l'utilisateur puisse se connecter à partir d'un autre appareil disposant des identifiants.
Pour réduire ces frictions, Chrome a ajouté la compatibilité avec la synchronisation des clés d'accès dans le Gestionnaire de mots de passe de Google.
Les clés d'accès du Gestionnaire de mots de passe de Google sont désormais compatibles avec iOS. Elles peuvent ainsi se synchroniser sur toutes les principales plates-formes, y compris Android, Windows, macOS, ChromeOS et Linux. Pour en savoir plus, consultez l'article Environnements compatibles.
Médiation immédiate: ne demandez que les identifiants disponibles.
Certaines clés d'accès ne sont pas synchronisées sur tous les appareils de certains utilisateurs. Si aucune clé d'accès n'est trouvée localement, Chrome peut afficher un code QR pour que l'utilisateur puisse utiliser un autre appareil disposant des identifiants. Cette méthode fonctionne, mais peut ajouter des frictions.
Pour réduire cette friction, Chrome prend en charge une nouvelle option: mediation: 'immediate'.
Votre site ne peut ainsi demander que les identifiants déjà disponibles sur l'appareil actuel. Si aucun n'est détecté, l'utilisateur ne voit rien. Aucune requête, aucun code QR, aucune interruption. Chrome vous en informe afin que vous puissiez afficher l'UI de connexion habituelle.
Cela améliore l'expérience en évitant les flux de code QR pour les utilisateurs sans identifiants.
Utilisez cette approche lorsqu'un utilisateur effectue une action significative, comme cliquer sur un bouton de connexion ou de paiement. Lorsque vous utilisez navigator.credentials.get() avec mediation: 'immediate', si une clé d'accès est disponible sur l'appareil actuel, Chrome invite immédiatement l'utilisateur. Si ce n'est pas le cas, l'utilisateur continue sans interruption, et vous pouvez afficher un champ de mot de passe, un code à usage unique ou une autre méthode.
Vous pouvez également augmenter vos chances d'aider l'utilisateur à se connecter en définissant password: true. Chrome peut ainsi renvoyer les mots de passe enregistrés avec les clés d'accès, le cas échéant.
L'exemple suivant montre comment demander une clé d'accès avec médiation immédiate:
navigator.credentials.get({
publicKey: {
challenge: new Uint8Array([/* your challenge here */]),
rpId: 'example.com'
},
mediation: 'immediate',
//< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
// Use the credential for sign in
>}).catch(error = {
if (error.name === 'NotAllowedError') {
// No credential found on this device, fall back to another method
} else {
console.error('Error during sign-in', error);
}
});
Cette fonctionnalité est disponible dans les parcours de développement. Pour en savoir plus, consultez la présentation de la médiation immédiate WebAuthn.
Création automatique de clés d'accès
De nombreux utilisateurs se connectent toujours à l'aide de mots de passe. Pour les aider à adopter les clés d'accès, Chrome introduit une API qui vous permet de créer automatiquement une clé d'accès pour vos utilisateurs après une connexion par mot de passe réussie.
Il vous suffit de demander la création d'une clé d'accès. Si l'utilisateur dispose d'un mot de passe enregistré qui a été utilisé récemment, le Gestionnaire de mots de passe crée une clé d'accès et vous indique si l'opération a réussi. L'utilisateur peut recevoir une notification une fois la clé d'accès disponible. Cette opération ne supprime pas le mot de passe de l'utilisateur.
Si la clé d'accès n'est pas créée, le navigateur ne gêne pas l'utilisateur et n'affiche aucune interface utilisateur.
Cela permet aux utilisateurs d'adopter progressivement les clés d'accès, sans interrompre leur flux de connexion.
Cette fonctionnalité est disponible à partir de Chrome 136. Pour en savoir plus, consultez l'article Aider les utilisateurs à adopter les clés d'accès plus facilement.
Nettoyer les clés d'accès avec l'API Signal
Si un utilisateur supprime une clé d'accès de votre site ou de votre application, son gestionnaire de mots de passe peut toujours la proposer lors de la connexion, ce qui peut entraîner des échecs et de la confusion. L'API Signal permet à votre application d'informer le gestionnaire de mots de passe lorsqu'une clé d'accès a été supprimée, ce qui permet de garder les listes d'identifiants propres et précises.
Vous pouvez également contribuer à la mise à jour des clés d'accès en envoyant une liste de clés d'accès connues au gestionnaire de mots de passe. Cela permet de nettoyer toutes les clés d'accès inutilisées pour l'utilisateur.
L'API Signal est disponible à partir de Chrome 132. Pour en savoir plus, consultez Assurer la cohérence des clés d'accès avec les identifiants sur votre serveur avec l'API Signal.
Importer et exporter: emportez vos identifiants avec vous
Les utilisateurs qui passent d'un gestionnaire de mots de passe à un autre ont souvent du mal à transférer leurs identifiants. Chrome est désormais compatible avec l'importation et l'exportation de clés d'accès et de mots de passe, basée sur les normes FIDO. Aucune gestion de fichiers n'est requise de la part de l'utilisateur.
Améliorations apportées à la saisie automatique
Pour afficher les identifiants stockés de manière conviviale, Chrome peut afficher automatiquement le menu déroulant de saisie automatique lorsque le formulaire de connexion est prêt. Il vous suffit d'accepter à la fois les mots de passe et les clés d'accès dans votre formulaire, et d'appliquer la mise au point automatique au champ de saisie.
Cela est utile, car les identifiants s'affichent sans que l'utilisateur ait à cliquer sur un champ. L'utilisateur peut simplement appuyer sur les identifiants qu'il souhaite utiliser, ce qui réduit les frictions.
Pour en savoir plus, consultez l'article Se connecter avec une clé d'accès via le remplissage automatique de formulaire.
Ressources de formation mises à jour
Nous avons remanié nos ressources d'apprentissage sur les clés d'accès pour vous permettre de fournir à vos utilisateurs la meilleure expérience possible.
- Créer une clé d'accès pour se connecter sans mot de passe
- Se connecter avec une clé d'accès via le remplissage automatique de formulaire
- Aider les utilisateurs à gérer efficacement leurs clés d'accès
FedCM: améliorer l'identité fédérée
L'API FedCM (Federated Credential Management) permet aux utilisateurs de se connecter avec des fournisseurs d'identité approuvés à l'aide d'un flux géré par le navigateur qui donne la priorité à la confidentialité et à l'expérience utilisateur. FedCM permet de simplifier les expériences d'inscription et de connexion sur le Web. Les développeurs peuvent ainsi prendre en charge une authentification fluide avec moins d'effort.
Interface plus intelligente
FedCM vous permet désormais de mieux contrôler comment et quand l'invite de connexion s'affiche. Il est compatible avec deux modes:
- Mode passif: le navigateur affiche automatiquement l'invite de connexion pour les fournisseurs d'identité connus lorsque les utilisateurs reviennent sur votre site. Cette méthode fonctionne bien pour les utilisateurs familiers, mais peut sembler intrusive si elle est affichée trop tôt.
- Mode actif: l'invite n'apparaît qu'après que l'utilisateur a cliqué sur un bouton de connexion, ce qui crée une expérience plus délibérée.
Cela est important, car cela réduit la confusion et évite de surprendre les utilisateurs. Avec le mode actif, les utilisateurs peuvent rester sur votre site et ne jamais voir de redirection ni d'autres boîtes de dialogue.
Chrome s'efforce également de rendre le mode passif plus intelligent. De futures mises à jour expérimenteront des techniques de machine learning qui intègrent des signaux de site et d'utilisateur pour déterminer quand et comment afficher l'UI afin de fournir une expérience utilisateur optimale.
API plus flexibles
FedCM vous offre plus de flexibilité et de contrôle sur la façon dont les utilisateurs se connectent avec une identité fédérée.
Par exemple, la compatibilité avec plusieurs fournisseurs d'identité vous permet d'afficher une liste de fournisseurs à vos utilisateurs au lieu d'un seul. Cela signifie que les utilisateurs peuvent choisir le compte qui leur convient et améliorer les taux de connexion tout en préservant la confidentialité des utilisateurs.
Le navigateur continue de jouer le rôle de médiateur à chaque étape. Les fournisseurs d'identité ne voient que ce que les utilisateurs autorisent explicitement, et la confidentialité est préservée tout au long du flux.
Identifiants numériques: validation rapide et privée de l'identité en ligne
Les identifiants numériques sont de plus en plus utilisés dans le monde entier. Ils permettent aux utilisateurs de valider des attributs tels que l'âge, le statut d'étudiant ou l'identité via un portefeuille numérique. L'API Digital Credentials permet aux utilisateurs de partager des revendications validées, telles que l'âge ou l'état de la licence, directement avec les sites Web depuis leur portefeuille mobile.
Nous collaborons avec le W3C et les principaux acteurs du secteur pour en faire une norme. Notre objectif est de proposer une expérience utilisateur simple, sécurisée, privée et cohérente sur toutes les plates-formes.
Voici quelques fonctionnalités intéressantes:
- Compatibilité multi-appareils Les utilisateurs peuvent présenter des identifiants de manière sécurisée depuis n'importe quel appareil.
- Divulgation sélective Les utilisateurs peuvent confirmer des informations telles que "plus de 18 ans" sans révéler d'informations inutiles.
- Informations vérifiables L'émetteur signe numériquement les données, ce qui permet une vérification simple.
- Émission Nous travaillons à l'extension de l'API Digital Credentials pour permettre aux utilisateurs de provisionner ces identifiants dans leur application de portefeuille.
Identifiants de session liés à l'appareil: restez connecté et protégé
Les sessions utilisateur sont souvent identifiées par leurs cookies, que des logiciels malveillants peuvent voler sur l'appareil d'un utilisateur.
Les identifiants de session liés à l'appareil associent une session à un appareil spécifique. Vous réduisez ainsi le risque de piratage de session et améliorez la protection lorsque vous êtes connecté à vos comptes de messagerie ou de réseaux sociaux, ou lorsque vous accédez à des services gouvernementaux.
Les identifiants de session liés à l'appareil aident les développeurs à créer des sessions plus sécurisées et plus stables en associant l'authentification à l'appareil utilisé lors de la connexion.
Commentaires
N'hésitez pas à nous faire part de vos commentaires sur tout ce que nous avons partagé. Essayez les fonctionnalités, explorez les liens de ce document et dites-nous ce que vous en pensez.