X est une application de réseaux sociaux qui vise à aider près de 500 millions d'utilisateurs dans le monde à obtenir toutes les informations, des dernières actualités aux divertissements, en passant par le sport et la politique, avec des commentaires en direct. Récemment, les développeurs de X ont repensé le processus de connexion de l'application Android afin que les utilisateurs ne manquent jamais les conversations qui les intéressent. À l'aide de l'API Credential Manager, l'équipe a implémenté une nouvelle authentification par clé d'accès pour un accès plus rapide, plus facile et plus sécurisé à l'application.

Simplifier la connexion avec les clés d'accès

Aujourd'hui, les systèmes d'authentification traditionnels basés sur des mots de passe sont moins sécurisés et plus sujets aux cyberattaques. De nombreux utilisateurs choisissent souvent des mots de passe faciles à deviner, que les pirates peuvent facilement déchiffrer à l'aide d'attaques par force brute. Ils réutilisent également les mêmes mots de passe sur plusieurs comptes, ce qui signifie que si un mot de passe est piraté, tous les comptes sont compromis.

Les clés d'accès répondent à la préoccupation croissante concernant la sécurité des comptes face aux mots de passe faibles et aux attaques par hameçonnage en éliminant complètement le besoin de mots de passe. Cette fonctionnalité offre une expérience de connexion plus sûre et plus fluide, permettant aux utilisateurs de ne plus avoir à mémoriser leurs noms d'utilisateur ni leurs mots de passe.

"Les clés d'accès sont un moyen plus simple et plus sécurisé de se connecter. Elles remplacent les mots de passe par des codes PIN ou des données biométriques telles que les empreintes digitales ou la reconnaissance faciale", explique Kylie McRoberts, responsable de la sécurité chez X. "Nous avons envisagé d'utiliser des clés d'accès pour faciliter et sécuriser la connexion des utilisateurs, afin de protéger leurs comptes sans qu'ils aient à se soucier de mémoriser des mots de passe."

Depuis l'implémentation des clés d'accès, l'équipe X a constaté une réduction considérable des temps de connexion et des métriques indiquant une amélioration du flux de connexion. Avec les clés d'accès, le taux de réussite des connexions à l'application a doublé par rapport à la période où elle ne reposait que sur des mots de passe. L'équipe a également constaté une baisse des demandes de réinitialisation de mot de passe de la part des utilisateurs qui ont activé les clés d'accès.

Selon les développeurs de X, l'adoption des clés d'accès a même apporté des avantages au-delà de la sécurité renforcée et de l'expérience de connexion simplifiée, comme la réduction des coûts et l'amélioration de l'expérience utilisateur.

"Les clés d'accès nous ont permis de réduire les dépenses liées à l'authentification à deux facteurs par SMS, car elles offrent une authentification forte et inhérente", explique Kylie. "De plus, grâce à la facilité de connexion, les utilisateurs sont plus susceptibles d'interagir avec notre plate-forme, car ils n'ont plus à se soucier de mémoriser ou de réinitialiser des mots de passe."

Les clés d'accès reposent sur la cryptographie à clé publique pour authentifier les utilisateurs et leur fournir des clés privées. Cela signifie que les sites Web et les applications peuvent voir et stocker la clé publique, mais jamais la clé privée, qui est chiffrée et stockée par le fournisseur d'identifiants de l'utilisateur. Comme les clés sont uniques et associées au site Web ou à l'application, elles ne peuvent pas être obtenues par hameçonnage, ce qui renforce leur sécurité.

Intégration fluide à l'aide de l'API Credential Manager

Pour intégrer les clés d'accès, les développeurs de X ont utilisé l'API Credential Manager d'Android, ce qui a rendu le processus "extrêmement fluide", selon Kylie. L'API unifie Smart Lock, One Tap et Se connecter avec Google dans un workflow unique et simplifié. Cela a également permis aux développeurs de supprimer des centaines de lignes de code, ce qui a accéléré l'implémentation et réduit les frais de maintenance.

Au final, la migration vers Credential Manager n'a pris que deux semaines aux développeurs de X, suivies de deux semaines supplémentaires pour la prise en charge complète des clés d'accès. Il s'agissait d'une "migration très rapide" et l'équipe "ne s'attendait pas à ce que ce soit aussi simple et direct", explique Saurabh Arora, ingénieur chez X. Grâce à l'API simple et basée sur les coroutines de Credential Manager, les complexités liées à la gestion de plusieurs options d'authentification ont été éliminées, ce qui a réduit le code, le risque de bugs et les efforts globaux des développeurs.

Les développeurs de X ont constaté une amélioration significative de leur vitesse de développement en intégrant l'API Credential Manager. En passant à l'adoption des clés d'accès via l'API Credential Manager, ils ont obtenu les résultats suivants :

• Réduction de 80 % du code dans le module d'authentification
• Résolution de 90 % des bugs liés aux cas extrêmes hérités
• Réduction de 85 % du code de gestion de GIS, One Tap et Smart Lock

L'utilisation des méthodes de premier niveau de l'API Credential Manager, telles que createCredential et getCredential, a simplifié l'intégration en supprimant les complexités logiques personnalisées liées aux protocoles individuels. Cette approche uniforme a également permis aux développeurs de X d'utiliser une interface unique et cohérente pour gérer différents types d'authentification, tels que les clés d'accès, les mots de passe et les connexions fédérées comme Se connecter avec Google.

"Grâce aux méthodes d'API simples de Credential Manager, nous avons pu récupérer des clés d'accès, des mots de passe et des jetons fédérés en un seul appel, ce qui a réduit la logique de branchement et rendu la gestion des réponses plus propre", explique Saurabh. "L'utilisation de différentes méthodes d'API, telles que createCredential() et getCredential(), a également simplifié le stockage des identifiants, ce qui nous a permis de gérer les mots de passe et les clés d'accès au même endroit."

Les développeurs de X n'ont pas rencontré de difficultés majeures lors de l'adoption de Se connecter avec Google à l'aide de l'API Credential Manager. Le remplacement du code précédent de X pour Se connecter avec Google, One Tap et Smart Lock par une implémentation plus simple de Credential Manager a permis aux développeurs de ne plus avoir à gérer les états de connexion ou de déconnexion ni les résultats d'activité, ce qui a réduit la marge d'erreur.

Un avenir avec les clés d'accès

L'intégration des clés d'accès par X montre qu'il est possible d'offrir une expérience d'authentification plus sécurisée et plus conviviale. En tirant parti de l'API Credential Manager, les développeurs de X ont simplifié le processus d'intégration, réduit les bugs potentiels et amélioré à la fois la sécurité et la vitesse de développement, tout en optimisant l'expérience utilisateur.

"Nous conseillons aux développeurs qui envisagent d'intégrer des clés d'accès de profiter de l'API Credential Manager", explique Saurabh. "Elle simplifie vraiment le processus et réduit le code que vous devez écrire et maintenir, ce qui améliore l'implémentation pour les développeurs."

À l'avenir, X prévoit d'améliorer encore l'expérience utilisateur en autorisant les inscriptions uniquement avec des clés d'accès et en fournissant un écran de gestion des clés d'accès dédié.

Premiers pas

Découvrez comment améliorer l'expérience utilisateur de connexion de votre application à l'aide de clés d'accès et de l'API Credential Manager.