Flux sans mot de passe: que faire lorsque l'utilisateur entre un e-mail non valide lors de la connexion
Je prévois de rendre mon application sans mot de passe et j'ai vu des sites implémenter les choses différemment lorsque l'on insère un e-mail qu'ils n'ont pas utilisé pour un compte sur le site avant de se connecter.
Le Moyen , si je mets un nouvel e-mail, je recevrai le message "Nous venons d'envoyer un lien de confirmation à [email protected]. Cliquez sur le lien pour terminer la configuration de votre compte."
Cela rend le processus d'inscription rapide, mais je ne suis pas sûr que ce message soit suffisamment fort pour faire comprendre à certains utilisateurs qu'il s'agit d'un nouvel e-mail utilisé. Cela pourrait frustrer les utilisateurs qui avaient oublié quel e-mail a été utilisé pour leur compte existant et prendrait maintenant le temps de réaliser qu'ils utilisent un nouveau compte avant de réessayer de se connecter avec le bon e-mail. Cependant, ce scénario peut ne pas se produire assez souvent pour que cela vaille la peine de concevoir l'UX pour l'empêcher.
Zeit conçoit des choses, donc si je n'ai pas de compte et que je mets un nouvel e-mail, je recevrai le message "Aucun compte ZEIT n'est associé à cette adresse e-mail. Continuer avec l'inscription?" et je peux cliquer pour vous inscrire.
Cela empêche de se rendre compte qu'ils ont utilisé le mauvais e-mail, mais cela ajoute une étape supplémentaire à l'inscription et je pense que cela pourrait confondre les utilisateurs qui ne faisaient pas attention au fait qu'ils ont cliqué sur la connexion plutôt que sur la connexion.
Selon vous, qu'est-ce qui est un meilleur flux et pourquoi?
Je pense que c'est un scénario de compromis entre convivialité et confidentialité - où l'option la plus conviviale sacrifie en fait un peu de confidentialité/sécurité pour votre application dans son ensemble.
Il y a une réponse plus détaillée sur cet article sur Security Stackexchange , mais je vais essayer de résumer ici:
Si vous vérifiez qu'une adresse e-mail est utilisée pour un compte sur votre application, cela permettrait à quelqu'un de savoir si une personne donnée utilise l'application, simplement en connaissant son adresse e-mail. Autrement dit, si je connais votre adresse e-mail, je peux vérifier et confirmer que vous appartenez à "scifi-fanatics.com". Il s'agit d'un problème général de confidentialité, mais il est plus grave (et pourrait être illégal) si votre application implique des informations juridiquement sensibles, telles que des services liés à la santé, qui doivent légalement rester confidentiels/anonymes.
Notre site Web (très spécialisé) permet à quiconque de créer un compte lorsque nous envoyons un lien unique dans le corps d'un message à l'e-mail spécifié.
Notre choix a été de laisser les gens créer accidentellement des comptes en double, car nous pensons que répondre à cet e-mail est un avertissement suffisant. Ceci malgré le fait que notre public cible comprend des personnes qui ont toujours des téléphones fixes et qui confondent les navigateurs Web avec les outils de messagerie. Quelques comptes supplémentaires semblent un petit prix à payer pour la simplicité de l'interface.
J'approuve également la réponse de @ Luke.
Je pense que dans ce cas, une authentification plus difficile mais plus sécurisée vaut mieux qu'une connexion/inscription plus facile pour les utilisateurs moyens qui ne peuvent pas se sauver des problèmes de confidentialité.
Mettez la sécurité au-dessus de l'utilisabilité dans la plupart des cas comme celui-ci!
Je conviens que cela pourrait être un scénario improbable, mais il est quand même bon de l'éviter, d'autant plus que ceux qui se connectent plus souvent sont plus susceptibles de le vivre, affectant ainsi vos utilisateurs les plus fidèles.
Avez-vous envisagé d'utiliser quelque chose comme l'API Gravatar pour afficher une image liée à l'e-mail entré avant même de procéder à l'inscription? Cela pourrait devenir un indice pour l'utilisateur qu'il aurait pu taper le mauvais e-mail, car la plupart auront une photo de profil associée.