Project

General

Profile

Autre #67173

Simplifier la création de compte

Added by Mikaël Ates 7 months ago. Updated 7 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
08 July 2022
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No
Club:
No

Description

Aujourd'hui l'usager arrive le plus souvent sur la page de connexion : il vient d'une démarche demandant authentification, d'une page demandant authentification, d'un service raccordé en OIDC, etc.

Bien souvent1, l'usager ne sait pas, ne se souviens pas, s'il a un compte. Il peut alors commencer par essayer de se connecter. Puis il va tenter un "Mot de passe perdu ? Récupérez votre accès !" ou un "Pas de compte ? Enregistrez-vous !". Dans le même état d'esprit, il peut tenter le mot de passe perdu, et dans l'absence de courriel reçu, finalement se lancer dans l'inscription.

Ce fonctionnement est historique, plusieurs fois discuté. Il y a, sommairement, deux sujets qui reviennent. D'une part, le sujet de ne pas faire un Oracle, c'est à dire pouvoir en rentrant une adresse de courriel savoir si un compte existe ou non. D'autre part, des considérations techniques autour du découpage en deux pages connexion/inscription.

Il faut ajouter au contexte l'arrivée de la possibilité de définir un numéro de téléphone validé comme identifiant de connexion (développement mutualisé : https://publik.tracim.fr/ui/workspaces/1/contents/html-document/1353?folder_open=1, ticket roadmap : https://dev.entrouvert.org/issues/49212).

On voit actuellement sur plusieurs sites grand public le fait que lors de la saisie de l'identifiant, l'usager est informé de l'existence d'un compte avec cet identifiant. Si c'est le cas, il est affiché le champs de mot de passe, sinon il est proposé/mis en avant la création de compte.

Cette approche semble être pertinente en terme d'ergonomie pour l' « onboarding », au prix d'un clic supplémentaire pour la connexion, l'onboarding étant souvent jugé plus complexe et avec plus d'enjeu que la connexion2.

Il pourrait être interressant de se reposer la question de l'Oracle et évaluer si ce serait désormais acceptable dans le contexte de Publik. Si c'était le cas, il pourrait par exemple être envisagé une mire de connexion login mot de passe avec les comportements suivants.

Exemple 1 :
  • La mire de connexion présente un champs de saisie de l'identifait ainsi que le lien de création de compte.
  • L'usager saisie son email ou son numéro de mobile et clique sur une « petite flêche ».
  • Si l'identifiant n'est pas connu il est affiché un message « Identifiant inconnu.» en dessous du champs (ou au dessus) et le lien de création de compte est « mis en avant ».
  • Si l'identifiant est connu il est affiché le champs mot de passe et le lien mot de passe perdu.
Exemple 2 :
  • La mire de connexion présente un champs de saisie de l'identifait mais pas le lien de création de compte.
  • L'usager saisie son email ou son numéro de mobile et clique sur une « petite flêche ».
  • Si l'identifiant n'est pas connu il est affiché un message « Identifiant inconnu.» en dessous du champs (ou au dessus) et le lien de création de compte.
  • Si l'identifiant est connu il est affiché le champs mot de passe et le lien mot de passe perdu.

[1] Ici une analyse (rigoureuse) qui pourrait venir en considérant ce ticket et en discutant sur celui-ci.
[2] Voir [1].

History

#1

Updated by Frédéric Péters 7 months ago

On voit actuellement sur plusieurs sites grand public

Exemples ?

#2

Updated by Mikaël Ates 7 months ago

  • gmail.com
  • sncf.com
  • la connexion à mon laptop
#3

Updated by Frédéric Péters 7 months ago

gmail.com

Après avoir saisi une adresse ça dit "Impossible de trouver votre compte Google", il y avait et il reste un lien "créer un compte" dessous.

sncf.com

je clique sur "Mon espace TGV INOUI" ça envoie https://tgvinoui.sncf/prehome je mets mon adresse ça dit dessous « Cet e-mail est incorrect. Vous pouvez cliquer sur "Quel est Mon Identifiant" pour le récupérer. » cliquer sur le lien en question affiche « QUEL EST VOTRE IDENTIFIANT ? Vous avez créé votre identifiant ? Pour vous connecter, utilisez votre e-mail comme identifiant. ». Sous le formulaire il y a depuis le début un lien "Pas de compte ? Créez un compte" qui envoie vers un gros formulaire de création de compte.

~~

sinon il est proposé/mis en avant la création de compte

Je ne rencontre pas ce comportement.

#4

Updated by Paul Marillonnet 7 months ago

Mikaël Ates a écrit :

Exemple 2 :
  • La mire de connexion présente un champs de saisie de l'identifait mais pas le lien de création de compte.
  • L'usager saisie son email ou son numéro de mobile et clique sur une « petite flêche ».
  • Si l'identifiant n'est pas connu il est affiché un message « Identifiant inconnu.» en dessous du champs (ou au dessus) et le lien de création de compte.
  • Si l'identifiant est connu il est affiché le champs mot de passe et le lien mot de passe perdu.

Je crains que ce second comportement perde une partie des usagers qui savent ne pas posséder de compte et qui vont instinctivement chercher le lien vers la page de création de compte.

#5

Updated by Mikaël Ates 7 months ago

gmail.com

Après avoir saisi une adresse ça dit "Impossible de trouver votre compte Google", il y avait et il reste un lien "créer un compte" dessous.

C'est l'exemple 1. Avec dans la proposition faite qui diverge de gmail le fait de mettre le lien de création de compte en avant après un identifiant non trouvé.

sncf.com

je clique sur "Mon espace TGV INOUI" ça envoie https://tgvinoui.sncf/prehome je mets mon adresse ça dit dessous « Cet e-mail est incorrect. Vous pouvez cliquer sur "Quel est Mon Identifiant" pour le récupérer. » cliquer sur le lien en question affiche « QUEL EST VOTRE IDENTIFIANT ? Vous avez créé votre identifiant ? Pour vous connecter, utilisez votre e-mail comme identifiant. ». Sous le formulaire il y a depuis le début un lien "Pas de compte ? Créez un compte" qui envoie vers un gros formulaire de création de compte.

Idem.

Je n'ai pas considéré la notion d'identifiant perdu qui me semble être un nouveau sujet. Mais il peut tout à fait être intégré à cette discussion.

sinon il est proposé/mis en avant la création de compte

Je ne rencontre pas ce comportement.

Oui, l'objet n'est pas de calquer exactement ces exemples. Ces exemples illustrent le fait que la notion d'Oracle est dans ces cas acceptée. Aussi peut-être que cela a du sens pour faciliter la création de compte.

Je crains que ce second comportement perde une partie des usagers qui savent ne pas posséder de compte et qui vont instinctivement chercher le lien vers la page de création de compte.

Oui, tu as raison.

#6

Updated by Benjamin Dauvergne 7 months ago

Je pense qu'on peut intégrer toutes les vues en une seule effectivement :
1. 1 champ email/numéro de téléphone seul, forçant la saisie,

(au passage ici on peut vérifier si un compte existe avec un IdP et renvoyer directement sur celui-ci (pour les agents))

2. ensuite s'affiche le champ mot de passe (sans valider quoi que ce soit pour l'email) avec un lien en desssous "Je ne connais pas mon mot de passe / Je n'ai pas de mot de passe..."

Si on clique sur ce dernier lien, on envoie un mail, on affiche "vous allez recevoir un email/sms avec la procédure à suivre." et on lance le processus récupération de mot de passe/enregistrement selon le cas.

Je pense que le vrai souci c'est de ne plus différencier les différents parcours qui amènent à être connecté sans avoir de mot de passe.

#7

Updated by Anaïs Ecuvillon 7 months ago

En lisant ta proposition de simplification, j'imaginais un truc du style :
1. que ce soit pour se connecter ou se créer un compte, un seul champ est présent à l'écran : je renseigne mon identifiant (mail ou tel), je valide avec la petite flèche
2.a. si j'ai un compte, un nouveau champ me demandant mon mot de passe (+ lien vers mot de passe de perdu) => je me connecte
2.b. si je n'ai pas de compte, un nouveau champ me demandant le mot de passe que je choisis pour la création de mon compte => je créé mon compte

j'ai déjà vu ce comportement quelque part, j'ai trouvé ça super fluide, mais je viens d'essayer de retrouver où, sans succès

#8

Updated by Benjamin Dauvergne 7 months ago

Anaïs Ecuvillon a écrit :

En lisant ta proposition de simplification, j'imaginais un truc du style :
1. que ce soit pour se connecter ou se créer un compte, un seul champ est présent à l'écran : je renseigne mon identifiant (mail ou tel), je valide avec la petite flèche
2.a. si j'ai un compte, un nouveau champ me demandant mon mot de passe (+ lien vers mot de passe de perdu) => je me connecte
2.b. si je n'ai pas de compte, un nouveau champ me demandant le mot de passe que je choisis pour la création de mon compte => je créé mon compte

Le 2.b. ça s'appelle un oracle, c'est à dire un mécanisme qui permet de savoir si une personne est inscrite sur un site ou pas, c'est considéré comme une fuite de donnée personnelle pour la simple raison que les sites qu'on met en place sont liés à une collectivité; savoir que tu as un compte ou pas à la SNCF ne donne pas énormément d'information, à part peut-être que tu es potentiellement français et que tu prends le train. Mais savoir que ton email est inscrite sur grandlyon.com c'est déterminé à 99% que ton adresse n'est pas loin de Lyon. Ça peut servir par exemple à de la prospection marketing. C'est mal.

J'ai vu le cas de gmail cité plus haut mais c'est totalement différent, sachant que c'est gmail lui même qui est la source des adresses mail : savoir que toto41 existe sur gmail.com sachant que tu as déjà l'adresse en ta possession ne t'apporte aucune information, ça confirme juste ce que tu soupçonnes déjà.

#9

Updated by Frédéric Péters 7 months ago

Oui, description du ticket :

Il pourrait être interressant de se reposer la question de l'Oracle et évaluer si ce serait désormais acceptable dans le contexte de Publik.

#10

Updated by Benjamin Dauvergne 7 months ago

Frédéric Péters a écrit :

Oui, description du ticket :

Il pourrait être interressant de se reposer la question de l'Oracle et évaluer si ce serait désormais acceptable dans le contexte de Publik.

Ça ne l'est pas (et le DPO devrait sévir un peu) mais surtout ça n'est pas nécessaire, le flot qui confond inscription/récupération de mot de passe apporte la même simplicité.

Écran 1.

Identifiant: [___________]

[J'ai un mot de passe] [Je ne connais pas mon mot de passe]

Écran 2.a.1 (je clique sur J'ai un mot de passe)

Email :        [toto42@truc.com__]

Mot de passe : [_________________]

[Me connecter]

Écran 2.a.2 (mauvais mot de passe)

Email: [toto42@truc.com___]

Mot de passe: [___________]

Erreur: Mot de passe ou identifiant erronée...

[Me connecter] [Je ne connais pas mon identifiant/mon mot de passe]

On pourrait poser un cookie/stocker un truc dans localStorage pour éviter d'afficher ces boutons aux gens qui se sont déjà connectés. Au passage on devrait revoir la fonctionnalité remember-me qui n'est pas ce qu'elle devrait être (on devrait stocker dans un cookie un ou plusieurs jetons de connexion, pas garder une session ouverte indéfiniment) et qui permettrait d'afficher directement des boutons [ Me connecter en tant que Michel Truc ], un peu comme Google en multicompte.

Also available in: Atom PDF