Comment encourager les utilisateurs à activer l'A2F

Comment encourager les utilisateurs à activer l'A2F

Proposer l’A2F (authentification à deux facteurs) n’aide pas à sécuriser vos clients s’ils n’optent pas pour cette fonctionnalité. L’A2F aide à protéger les utilisateurs si le premier facteur, souvent un mot de passe, est compromis. La compromission de ce facteur est commune car il est facile de deviner des mots de passe qui ont fuité sur un autre site. Les utilisateurs les plus conscients des risques de sécurité ont sûrement déjà des mots de passe forts et uniques. Ils n’ont peut-être pas besoin d’être convaincus pour activer l’A2F, mais comment convaincre les utilisateurs plus vulnérables d’activer des mesures de sécurité supplémentaires?

Une étude de 2019 sur la facilité d’utilisation de l’A2F a conclu que 29% des gens pensaient que les inconvénients de l’A2F valaient le compromis de sécurité. “Je ne pense simplement pas que j’ai quoique ce soit que quelqu’un pourrait vouloir me prendre, donc je pense que c’est pour ça que je ne suis pas très inquiet à ce propos”, a expliqué un participant.

Ce sentiment fait écho à quelque chose que le chercheur en sécurité, Cormac Herley, a écrit une décennie plus tôt : “C’est principalement le temps, et non l’argent, que les utilisateurs risquent de perdre lorsqu’ils sont attaqués. C’est aussi du temps que ces recommandations de sécurité leur demandent." Encourager les utilisateurs à prendre des mesures de sécurité supplémentaires est une façon de contrebalancer le temps investi et les incite aussi à donner de la valeur à une meilleure sécurité de compte.

Comment motiver l’adoption de l’A2F

Les sites web deviennent de plus en plus astucieux sur comment ils amènent les gens à activer l’A2F. À moins que vous ne soyez une société comme Coinbase, vous ne rendrez probablement pas l’A2F obligatoire, mais vous avez d’autres options que simplement la cacher dans les paramètres du profil. Des invites peuvent être efficaces, surtout si vous êtes persévérants dans vos rappels.

Comment les émoticônes gratuits ont popularisé l’A2F

L’idée de proposer des incitations produit pour activer l’A2F a été popularisé par  Fortnite en 2018. L’encouragement a eu beaucoup d’attention dans les médias et vous pouvez voir ses effets sur l'intérêt du public dans la recherche Google des trends de l’A2F.

Ce premier pic en 2018 peut être attribué à Fortnite, qui a publié ses incitations à cette époque. Les trends Google pour les thèmes liés et les questions à l’A2F s’articulent toujours autour de Fortnite et sa société-mère, Epic Games.

Ce genre d’encouragement est peut-être l’une des raisons qui fait que la sensibilisation du public a augmenté depuis 2017, selon une étude de 2019 par Duo Security.

Néanmoins, Fortnite n’est pas la seule société qui offre des incitations, et les entreprises encouragent leurs utilisateurs à activer la fonctionnalité de sécurité de manières diverses et variées.

Qui propose des incitations à activer l’A2F?

Cormac Herley, que nous avons cité plus haut, a posé cette question sur Twitter le mois dernier :

Les sociétés de jeu vidéo ont l’air d’être celles qui proposent le plus des incitations à activer l’A2F, ce qui paraît logique, puisque l’économie du gaming est large, et les incitations dans le jeu sont presque gratuites à fournir. World of Warcraft et Rockstar Games ont tous les deux proposé des encouragements comme cela. Twitch, aussi un client de l’A2F Twilio Authy, a commencé à offrir des incitations similaires via des emojisle mois dernier.

Les plateformes et sociétés de service proposent également des incitations sous la forme de remise de prix. Mailchimp offre une remise de 10% sur 3 mois pour les comptes qui activent l’A2F. L’herbegeur NIC.UA a proposé une réduction de 15% lorsqu’ils ont lancé l’A2F en 2017.

L’accès à certaines features avec l’A2F

Une autre façon d’encourager l’A2F consiste à débloquer des fonctionnalités pour les utilisateurs qui l’ont activée. C’est une manière d’appliquer l’A2F pour des comptes de haute valeur.

Par exemple, GitHub exige l’A2F pour les utilisateurs qui souhaiteraient participer à leur programme de Sponsorship. Apple ne permet, désormais, plus de désactiver l’A2F, en mentionnant que “certaines fonctionnalités” dans les versions récentes nécessitent ce niveau supplémentaire de sécurité.

Epic Games a proposé une autre incitation le mois dernier, ouvrant les portes à des jeux gratuits pour les utilisateurs activant l’A2F.

Exiger l’A2F

Toutes les sociétés de consommation ne peuvent pas s’en sortir en imposant l’A2F mais si vos utilisateurs comprennent le risque, alors cela peut avoir du sens. Les sociétés financières, banques et entreprises de crypto-monnaies comprises, peuvent exiger l’A2F pour leurs utilisateurs. Nous avons aussi vu des compagnies touchées par une mauvaise publicité de sécurité mandater l’A2F.

Considérations de la vie privée pour encourager l’A2F

A chaque fois que la discussion refait surface, je peux voir des variations de cette question : “est-ce les sociétés font ça juste pour récupérer vos PII ?”

S’il vous plaît, ne soyez pas cette société. Séparez le marketing de la sécurité et soyez clair sur comment vous utilisez les données de vos utilisateurs. Offrez des encouragements pour tous les canaux, en incluant TOTP (aucune PII requise) ou mail (que la société a sûrement déjà). Facebook a déjà détruit la confiance de beaucoup d’utilisateurs lorsqu’ils se sont fait attrapés en train d’utiliser les numéros de téléphones de l’A2F pour faire des publicités ciblées (ils ont arrêté en 2019). Nous ne pouvons prendre le risque d'aliéner encore un peu plus nos utilisateurs. Se battre pour protéger la vie privée de vos utilisateurs en encourageant une meilleure sécurité, ce ne sont pas des buts exclusifs.

L’A2F par SMS offre toujours une meilleure sécurité qu’aucune A2F, mais si possible, ne forcez pas vos utilisateurs à se servir d’un canal dont ils n’ont pas envie.

Conclusion

Offrir l’A2F n’est désormais plus suffisant. Vous avez besoin de vous assurer que vos utilisateurs l’activent. Comme vous ne pouvez pas vraiment les y forcer, vous avez plusieurs options pour en motiver l’adoption. Tenez compte des encouragements produits qui ont du sens par rapport à votre business ou de restreindre certaines fonctionnalités aux comptes ayant activé l’A2F. À minima, rappelez à vos utilisateurs qu’activer l’A2F est une option.

Comment votre société encourage-t-elle les utilisateurs à activer l’A2F ? Faites-le moi savoir sur Twitter !