Contact sales

Magic Links

Magic Links
Alexandre Dedourges

Alexandre Dedourges

Dévéloppeur en sécurité

Qu'est-ce que le Magic Link et qu'est-ce qu’il a de “magique” ?

Le Magic Link ne vous est peut-être pas familier, mais vous l’avez certainement déjà utilisé durant votre navigation sur internet. Pour vous inscrire sur un site web, ou encore pour vous reconnecter rapidement suite à la perte d’un mot de passe. C’est une façon simple de s’authentifier avec une particularité qui présente un avantage significatif : celui de ne pas avoir besoin de créer un mot de passe dans le cadre d’une inscription ou d’une connexion à un site web qui le propose. Fini donc le temps perdu pour créer un mot de passe (notamment complexe : @#/?;!), les problèmes de mémoire pour s’en rappeler, et les risques de vols de mot de passe. Plutôt pas mal comme côté magique.

 

Il ne fonctionne pas avec de la magie bien sûr, mais juste avec votre email. 

Sur un site web qui propose le Magic Link comme moyen d'authentification, il vous faudra simplement renseigner votre email, et cliquer sur “recevoir un Magic Link” (ou lien de connexion). Il vous sera alors envoyé instantanément un email contenant notre fameux “Magic Link”, il suffira alors d’ouvrir votre boîte email (gmail, outlook, yahoo, …) afin de cliquer sur le lien présent dans cet email.

Cet email est généralement interfacé, avec un lien qui prend souvent la forme d’un bouton :

Pour résumer, c’est une méthode simple et efficace pour s’authentifier qui équilibre à la fois sécurité et expérience utilisateur. On vous en dit plus sur son fonctionnement et ses avantages dans notre article.

Une solution passwordless

Les Magic Links une solution avantageuse :

En 2018 une recherche menée par Dashlane (gestionnaire de mot de passe) et l’université de Virginia Tech a démontré qu’un utilisateur utilisait en moyenne plus de 150 comptes différents. En cette année 2022 ce chiffre pourrait être monté à 300. Cela pose un problème important qui est la mémorisation des mots de passe. Pour respecter les conventions de sécurité, un utilisateur devrait en théorie utiliser un mot de passe différent sur chacun de ces services. Or en pratique c’est quasiment impossible, cette recherche nous montre qu’environ 52% des personnes ne font que modifier légèrement leur mot de passe. Voir-même le réutilise sans modification. La solution du passwordless répond à ce problème et apporte une meilleure expérience aux utilisateurs. Cette méthode ne nécessite pas la mémorisation pour son propriétaire, le stockage ou encore le changement régulier du mot de passe. L’utilisation des Magic Links est simple et rapide et supprime l’étape de mémorisation des identifiants.

L’un des autres avantages des Magic Links réside dans le fait que son utilisation ne repose pas sur la sécurité des autres sites, et que cela limite donc grandement les risques dû à une faille d’un site Web. En effet, selon les données apportées par Verizon, une entreprise Américaine de télécommunication, plus 2000 failles de sécurité ayant mené à des “leaks” de plusieurs milliards d’identifiants ont été recensées en 2016. En utilisant le même mot de passe sur plusieurs sites, et que l’un de ces sites a une fuite de données alors ce sont tous vos services qui sont compromis. Le Magic Link permet donc d’éviter cela.

Par ailleurs, l'une des principales causes de problème dans la cybersécurité, sont les failles liées aux mots de passe trop peu sécurisés (trop faibles, trop courts, trop utilisés). Ces problèmes d'authentification sont d’ailleurs classés dans le top 10 des principaux risques de sécurité des applications Web selon l'OWASP (Open Web Application Security Project). Les problèmes liés à l'authentification étaient en effet classés n°2 en 2017 et n°7 en 2021. Les Magic Links sont donc une solution à ce problème puisqu’ils suppriment les identifiants pour les utilisateurs.

Quant aux entreprises, la gestion des identifiants représente un coût important. Selon une étude menée par Forrester certaines entreprises interrogées dépensaient plus de 890 000 euros (1M de dollars) pour le support des mots de passe. Avec les Magic Links ce n'est plus une nécessité, plus besoin de stocker, de chiffrer et de protéger les mots de passe de nos utilisateurs puisque plus aucun mot de passe n'est utilisé. 

En simplifiant la connexion, le consommateur gagne du temps, il est donc plus enclin à se créer un compte. La création de compte est une étape dont l'utilisateur se passerait bien. Cela permet également de s'assurer qu'il sera moins enclin à se décourager lors du processus d'inscription. Selon une étude menée conjointement par l’université d’Oxford et Mastercard, ce sont plus d’un tiers des paniers qui sont abandonnés dûes aux oublis de mots de passe.

Pour terminer, les Magic Links ne dépendent pas d’un matériel tiers. Il n'y a par exemple aucunement besoin d'un téléphone, alors que c'est le cas avec une double authentification, pas besoin d'une clé USB pour l'authentification biométrique… Mais ces autres techniques d’authentification peuvent tout de même être utilisées pour garantir une meilleure sécurité, ce sont des solutions complémentaires.

Une solution basée sur la messagerie :

Les Magic Links sont relativement sécurisés et pratiques pour l'utilisateur mais ceux-ci restent imparfaits si implémentés seuls. La solution parfaite n'existant pas encore à ce jour.

Si les Magic Links sont utilisés seuls, la sécurité de l'authentification dépendra alors de la sûreté de la boîte mail utilisée par l'utilisateur. Plus la force du mot de passe de l’utilisateur sur sa boîte mail est faible, plus le risque que le Magic Links soit compromis est grand. Il est possible de consulter les recommandations concernant la force des mots de passe sur le site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Néanmoins, comme évoqué dans un point précédent, certaines solutions existent et garantissent une meilleure sécurité.  L’une des techniques les plus utilisées ces dernières années est la mise en place d’une solution 2FA (2 Factors Authentification), mais d’autres solutions existent telles que l’authentification biométrique.

Des optimisations possibles pour une meilleure utilisation et une sécurité renforcée.

Magic Links à utilisation unique

Limiter les Magic Links à une seule utilisation permet de garantir une meilleure sécurité pour l'utilisateur. Ainsi on évite la ré-utilisation malveillante du lien.

Liens de connexion à date limite d'utilisation

Une autre méthode permettant de sécuriser un petit peu plus notre système, est la mise en place d'une date limite d'utilisation pour chaque lien. De cette façon, une personne qui arriverait à récupérer notre lien, de quelque manière que ce soit, ne pourra pas l'utiliser si sa durée de vie a expiré.

Sécurité renforcée de l'adresse mail et/ou de l'application

La mise en place d'une solution de double authentification est une possibilité. Cette double authentification combinée à un Magic Link permettrait de garantir une sécurité optimale pour les utilisateurs. La double authentification est une solution valable aussi bien pour la boîte mail de l'utilisateur, que pour l'application. Les standards WebAuthn (Standard qui propose une interface d'authentification des utilisateurs aux applications Web à l'aide de clés asymétriques.) permettent ce type de sécurisation renforcée.

Mail facilement repérable, émetteur clairement identifié

Pour ne pas perdre l'utilisateur, l'utilisation d'un mail avec un titre facilement repérable et un émetteur clairement identifié est préférable. Grâce à ça l'utilisateur pourra facilement trouver le mail qu'il a reçu et cliquer dessus sans avoir à chercher parmi tous ses mails.

Mail allant droit au but

Inutile de surcharger le mail d'informations, cela n'aurait aucun intérêt et ne serait pas bénéfique. Faire en sorte que le mail soit clair et concis est la meilleure chose à faire. Un logo, un texte court, la durée de validité, et un lien cliquable et/ou bouton sont amplement suffisant.

Un service de messagerie qui doit être rapide, fiable et reconnu

Les Magic Links sont fortement dépendant des services de mail, autant du côté rapidité que du côté fiabilité. En termes de rapidité, l'utilisateur peut, en utilisant les Magic Links, gagner un temps qui lui est précieux. Malheureusement si le mail du client tarde à arriver, cela peut au contraire lui faire perdre du temps. Un service de messagerie rapide est donc obligatoire.

En termes de fiabilité cette fois-ci, si les mails se "perdent" durant leur envoi, cela risque de faire perdre patience à l'utilisateur. Nous prenons donc le risque que ceux-ci abandonnent leur inscription, ou qu’ils renoncent à se connecter. En plus de la rapidité il faut donc que le service de messagerie utilisé soit fiable.

Dernier point important à propos du service de messagerie utilisé, il faut que celui-ci soit un acteur reconnu. Cela permet effectivement aux mails de ne pas être considérés comme étant des spams par les autres services de messagerie. Il est  très important que les utilisateurs ne perdent pas de temps durant la réception du mail. Un mail placé dans les SPAMS étant un mail plus difficilement repérable. 

Des services plus adaptés que d’autres

La plupart des services sont adaptés à l’utilisation de Magic Links, bien que certains d’entre eux ne puissent pas utiliser ce type de fonctionnalité. Les services de messagerie, par exemple, ne pourraient pas utiliser ce système d’authentification puisqu’il est nécessaire d’avoir accès à sa boîte mail pour pouvoir cliquer sur le lien. Néanmoins si les liens sont reçus par SMS, alors l'accès à la boîte mail n’est plus nécessaire. Cela rendrait donc l’utilisation des Magic Links possible pour ces services.

Certains autres services comme les banques ont plutôt tendance à se tourner vers d’autres solutions comme le 2FA. En effet, pour garantir que la personne qui tente de se connecter est bien la personne qu’elle prétend être, la solution 2FA est la plus efficace.

Comme dit précédemment, les Magic Links sont adaptés à la plupart des services mais certains de ces services sont encore plus adaptés à leur utilisation. En effet, les utiliser en tant que liens référentiels est une solution envisageable, et même très avantageuse (connexion simplifiée, un clic équivaut à un lien utilisé avec succès). 

Dans l’E-Commerce aussi, leur utilisation est un avantage de taille. Comme dit précédemment, ce ne sont pas moins d’un tiers des utilisateurs qui abandonnent leur panier suite à un oubli de mot de passe.

Dans tous les services où l’authentification reste ponctuelle (résultats de laboratoire, événement…) les Magic Links offrent à l’utilisateur une meilleure expérience. Ceux-ci évitent à l’usager de retenir un mot de passe pour des services à “usage unique”.

Les Magic Links : une réponse simple et évidente à des enjeux de sécurité, d’expérience utilisateur et de croissance.

Les Magic Links, bien que déjà très intéressants en termes de sécurité et d’expérience utilisateur, sont aussi un outil efficace pour augmenter le taux de conversion et de rétention des clients. En effet, leur simplicité de fonctionnement peut permettre à une majorité de profils clients de les utiliser en supprimant les frictions à l’inscription et à la re-connexion. Ils peuvent être mis en place par différents types de sites web : e-commerce, SAAS, Fintech … Ces derniers peuvent les utiliser pour fluidifier leur expérience d’authentification, et également réengager des utilisateurs inactifs par email avec un lien de connexion. Les campagnes marketing peuvent également améliorer leur taux de conversion grâce au lien d’inscription intégré dans les emailings de prospection.

Alors prêt à mettre un peu de “magie” dans votre authentification ? On vous en dit plus chez Cryptr.

Cryptr users management As A Service offers a modern approach to handle end-users authentication security for web and mobile applications.

TwitterLinkedin

Company