Application ou site internet, tous ont besoin d’un système d’authentification efficace. Ian Maddox, GCP Solutions Architect chez Google énumère 12 règles à suivre pour les développeurs. Pour donner un maximum de liberté aux utilisateurs sans sacrifier la sécurité, suivez le guide !
Créer un système d’authentification pour une appli ou un site internet ? Voilà une tâche délicate pour un développeur. « La gestion des comptes est un coin sombre qui ne reçoit pas assez d’attention », assure Ian Maddox, GCP Solutions Architect chez Google. Le spécialiste a listé 12 règles pour un système sûr et efficace sur Google Cloud Platform le 29 janvier dernier.
Mots de passe et identité d’utilisateur
Première règle, « stocker en toute sécurité les informations sensibles des utilisateurs, y compris leur mot de passe ». Ian Maddox conseille le hachage cryptographique, avec des fonctions impossibles à inverser. Créez une base spéciale. Deuxième règle, autorisez les fournisseurs d’identité tiers avec une plateforme comme Firebase Auth de Google.
Troisième règle, « vos utilisateurs ne sont pas une adresse e-mail » affirme le spécialiste. Il recommande de séparer identité et compte d’utilisateur. Les usagers peuvent ainsi modifier leur nom, ou lier plusieurs identités à un compte unique. Cette règle mène à la quatrième, autoriser plusieurs identités à créer un lien vers un seul compte d’utilisateur.
Caractères spéciaux et suppression de compte
Cinquième règle, ne bloquez pas les mots de passe longs ou complexes avec des caractères spéciaux. Pourquoi refuser un mot de passe en Klingon ou en émojis ? Sixième règle, laissez l’utilisateur choisir librement son nom. Plutôt que de les restreindre, « la meilleure approche consiste à attribuer des noms d’utilisateur », indique Ian Maddox.
Septième règle, autorisez vos utilisateurs à utiliser des alias. Huitième règle, laissez aux utilisateurs la possibilité de supprimer leur compte. Neuvième règle, fixez des limites de durée de session ou de temps inactivité. Passé cette durée, l’utilisateur devra se reconnecter. Par contre, il doit retrouver sa session intacte à son retour.
Ces petits plus qui renforcent la sécurité
La dixième règle est un pas de plus vers la sécurisation. Elle consiste à valider en 2 étapes, de manière à éviter les détournements de comptes. Onzième règle, les développeurs doivent « Rendre les ID utilisateur insensibles à la casse ». De cette manière, taper en majuscules par erreur devient sans conséquence pour l’utilisateur.
Douzième et dernière règle, élargissez vos connaissances en matière de sécurité. Réinitialisation du mot de passe, journalisation des activités du compte, taux de limitation des tentatives de connexion, verrouillage des comptes après trop de tentatives infructueuses et l’authentification à deux facteurs… Les outils ne manquent pas !
Ajouter un commentaire