Les communautés Discourse peuvent désormais permettre aux utilisateurs de se connecter à l’aide d’un court code envoyé par e-mail plutôt que d’un lien magique, offrant ainsi un flux de connexion sans mot de passe qui semble familier à de nombreuses autres plateformes SaaS et qui fonctionne en complément de votre configuration de second facteur existante.
Dans ce sujet, nous passerons en revue les principaux changements et partagerons comment vous pouvez commencer à l’utiliser dès aujourd’hui.
Ce qui a changé
Lorsque cette fonctionnalité est activée, les membres voient un flux plus simple :
Ils saisissent une adresse e-mail et cliquent sur Continuer.
Un code à six chiffres arrive dans leur boîte de réception. Ils le collent (ou le saisissent) et le formulaire se soumet automatiquement lorsque le dernier chiffre est rempli.
S’ils ont activé l’authentification à deux facteurs (TOTP, codes de secours ou clé de sécurité), l’étape standard de 2FA apparaît ensuite.
Quelques détails à connaître : les codes sont valides pendant 10 minutes, expirent après 5 tentatives échouées et ne peuvent être utilisés qu’une seule fois.
Activer les codes de connexion à usage unique dans votre communauté
Pour l’instant, cela est considéré comme un changement expérimental ! Avant de le déployer plus largement, nous accueillons vos commentaires pour nous aider à apporter des améliorations.
Pour l’activer, rendez-vous sur la page Changements à venir dans votre zone d’administration (/admin/config/upcoming-changes) et recherchez l’élément Activer les connexions locales via code. Mettez à jour le champ Activé pour… pour inscrire votre site à ce nouveau design :
Avant d’activer, confirmez que enable_local_logins et enable_local_logins_via_email sont également définis sur true, car la fonctionnalité ne peut pas être activée sans eux. Si vous utilisez DiscourseConnect (enable_discourse_connect), cette fonctionnalité ne peut pas être activée.
Une fois le changement activé, le chemin de connexion par code apparaît automatiquement.
Qu’en pensez-vous ?
C’est à vous : nous aimerions beaucoup savoir ce que vous pensez de cette nouvelle fonctionnalité. Ce que vous aimez et n’aimez pas ; ce qui fonctionne bien, et ce qui pourrait être amélioré ?
Je viens de tester cela sur mon site. Je ne sais pas ce que pensent les autres, mais cela me semble être une régression assez importante en tant qu’utilisateur de gestionnaire de mots de passe…
Ce nouveau flux supprime la stratégie actuelle « générer l’e-mail, saisir le nom d’utilisateur, générer le mot de passe, sauvegarder » que mon gestionnaire de mots de passe m’a incité à adopter, et vous oblige à saisir l’e-mail en premier avant tout le reste. Je n’ai aucun problème avec le système de code par e-mail (et je le préfère presque, surtout si le code est inclus dans l’objet du mail), mais je m’oppose fermement à la suppression des autres champs de données du compte. Si j’étais un utilisateur sans aucune compétence technique, je comprendrais parfaitement que je n’envoie pas mon adresse e-mail dans une case sans aucune information, car ce n’est pas un design courant. Avant que cela ne devienne définitif, ce serait génial si ces champs étaient rétablis.
Les codes par e-mail, alias les “liens magiques”, sont corrects, mais encourager les utilisateurs à adopter les clés de passage améliore considérablement l’expérience.
Pour commencer, les sites web utilisant des liens magiques peuvent proposer les clés de passage en tant que fonctionnalité optionnelle et opt-in pour les clients qui se sont plaints du fonctionnement actuel de leurs liens magiques. Pour s’assurer qu’aucun problème ne survienne, dans une sorte de lancement progressif, ils pourraient rendre cette fonctionnalité entièrement opt-in.
Un peu plus tard, une fois que les responsables du site web sont convaincus que les clés de passage résolvent vraiment les problèmes d’expérience utilisateur liés aux liens magiques, ils peuvent inciter les utilisateurs à ajouter des clés de passage après la connexion, environ tous les 90 jours, ou chaque fois qu’ils se connectent en utilisant la fonctionnalité de connexion multi-appareils des clés de passage. La formulation d’une telle invitation pourrait être la suivante pour les utilisateurs d’appareils Apple : Vous souhaitez éviter de devoir vérifier votre e-mail la prochaine fois ? Configurez une clé de passage pour utiliser Face ID ou Touch ID afin de vous connecter rapidement et en toute sécurité.