Connexion et sécurité à divulgation progressive
De plus en plus de sites Web utilisent le modèle UX "divulgation progressive" à des fins de connexion. Je comprends que c'est pour une meilleure expérience utilisateur et des interfaces utilisateur plus propres.
Étant donné que j'utilise mon navigateur (Firefox, IE) pour enregistrer les mots de passe de nombreuses connexions Web, j'aimerais savoir si la "divulgation progressive" améliore ou diminue la sécurité du processus de connexion.
- Y a-t-il deux entrées distinctes stockées dans le navigateur (nom de connexion et mot de passe) ou le navigateur comprend-il toujours qu'il s'agit d'une connexion unique avec un nom de connexion et un mot de passe?
- Les navigateurs ont-ils des fonctionnalités spéciales pour gérer la divulgation progressive lors de la connexion?
- En tant que développeur: dois-je tricher avec le navigateur pour dire qu'il s'agit d'un seul formulaire de connexion?
En supposant que la connexion progressive est séparée sur deux pages distinctes.
Y a-t-il deux entrées distinctes stockées dans le navigateur (nom de connexion et mot de passe) ou le navigateur comprend-il toujours qu'il s'agit d'une connexion unique avec un nom de connexion et un mot de passe?
Les navigateurs peuvent devenir plus intelligents et détecter ce type de page (s) de connexion, mais s'ils ne le font pas, il y aura deux entrées dans vos données de saisie semi-automatique : un pour remplir le champ nom d'utilisateur et un autre pour remplir le champ mot de passe.
Les navigateurs ont-ils des fonctionnalités spéciales pour gérer la divulgation progressive lors de la connexion?
Ils ne le font pas. Cela signifie qu'ils ne peuvent pas gérer correctement plusieurs comptes.
En tant que développeur: dois-je tricher avec le navigateur pour dire qu'il s'agit d'un seul formulaire de connexion?
Oui, n'utilisez pas de pages distinctes. Si vous divisez la connexion en deux pages, vous casserez probablement gestionnaires de mots de passe et c'est un inconvénient majeur que vous devriez éviter à tout prix.
La connexion est toujours une page
Y a-t-il deux entrées distinctes stockées dans le navigateur (nom de connexion et mot de passe) ou le navigateur comprend-il toujours qu'il s'agit d'une connexion unique avec un nom de connexion et un mot de passe?
Non, ils sont traités comme d'habitude.
Les navigateurs ont-ils des fonctionnalités spéciales pour gérer la divulgation progressive lors de la connexion?
Non, ils n'en ont pas besoin car tout fonctionne comme avant.
En tant que développeur: dois-je tricher avec le navigateur pour dire qu'il s'agit d'un seul formulaire de connexion?
Vous n'avez pas à tricher le navigateur. Jetez un œil à la façon dont il est actuellement mis en œuvre, par exemple par Google. Le nom d'utilisateur et le mot de passe sont toujours là ensemble, sur le même <form>. Lorsque vous cliquez sur Suivant le <div> cela contient <input type=text> et le texte pertinent est masqué et le mot de passe devient visible.
Devez-vous faire autre chose? Rien de plus que d'habitude, remplissez correctement aria-, autocomplete et spellcheck et les navigateurs modernes offriront une bonne expérience utilisateur.