Des dernières actualités aux divertissements, en passant par le sport et la politique, X est une application de réseau social qui vise à aider près de 500 millions d'utilisateurs dans le monde à obtenir toutes les informations grâce à des commentaires en direct. Récemment, les développeurs de X ont remanié le processus de connexion de l'application Android afin que les utilisateurs ne manquent jamais les conversations qui les intéressent. À l'aide de l'API Credential Manager, l'équipe a implémenté une nouvelle authentification par clé d'accès pour un accès plus rapide, plus facile et plus sûr à l'application.

Simplifier la connexion avec les clés d'accès

Aujourd'hui, les systèmes d'authentification traditionnels basés sur des mots de passe sont moins sécurisés et plus vulnérables aux cyberattaques. De nombreux utilisateurs choisissent souvent des mots de passe faciles à deviner, que les pirates informatiques peuvent facilement déchiffrer à l'aide d'attaques par force brute. Ils réutilisent également les mêmes mots de passe sur plusieurs comptes, ce qui signifie que si un mot de passe est piraté, tous les comptes sont compromis.

Les clés d'accès répondent aux préoccupations croissantes concernant la sécurité des comptes, qui sont vulnérables aux mots de passe faibles et aux attaques par hameçonnage, en éliminant complètement le besoin de mots de passe. Il s'agit d'un moyen permettant aux utilisateurs de se connecter facilement, sans avoir à mémoriser des noms d'utilisateur ni des mots de passe.

"Les clés d'accès sont une méthode de connexion plus simple et plus sécurisée. Elles remplacent les mots de passe par des codes ou des données biométriques comme les empreintes digitales ou la reconnaissance faciale", a déclaré Kylie McRoberts, responsable de la sécurité chez X. "Nous avons envisagé d'utiliser des clés d'accès pour faciliter et sécuriser la connexion des utilisateurs, afin de protéger leurs comptes sans qu'ils aient à se souvenir de mots de passe."

Depuis l'implémentation des clés d'accès, l'équipe X a constaté une réduction considérable des temps de connexion et des métriques montrant une amélioration du processus de connexion. Grâce aux clés d'accès, le taux de connexion réussie de l'application a doublé par rapport à la période où elle ne reposait que sur des mots de passe. L'équipe a également constaté une diminution des demandes de réinitialisation du mot de passe de la part des utilisateurs ayant activé les clés d'accès.

Selon les développeurs de X, l'adoption des clés d'accès a même apporté des avantages au-delà de la sécurité renforcée et de la simplification de la connexion, comme la réduction des coûts et l'amélioration de l'expérience utilisateur.

"Les clés d'accès nous ont permis de réduire les dépenses liées à l'authentification à deux facteurs par SMS, car elles offrent une authentification forte et intrinsèque", explique Kylie. "Grâce à la facilité de connexion, les utilisateurs sont plus susceptibles d'interagir avec notre plate-forme, car ils n'ont pas à se souvenir de mots de passe ni à les réinitialiser."

Les clés d'accès s'appuient sur la cryptographie à clé publique pour authentifier les utilisateurs et leur fournir des clés privées. Cela signifie que les sites Web et les applications peuvent voir et stocker la clé publique, mais jamais la clé privée, qui est chiffrée et stockée par le fournisseur d'identifiants de l'utilisateur. Étant donné que les clés sont uniques et associées au site Web ou à l'application, elles ne peuvent pas être obtenues par hameçonnage, ce qui renforce leur sécurité.

Intégration parfaite à l'aide de l'API Credential Manager

Pour intégrer les clés d'accès, les développeurs X ont utilisé l'API Credential Manager d'Android, ce qui a rendu le processus "extrêmement fluide", selon Kylie. L'API unifie Smart Lock, One Tap et Google Sign-In dans un workflow unique et simplifié. Cela a également permis aux développeurs de supprimer des centaines de lignes de code, ce qui a amélioré l'implémentation et réduit les frais généraux de maintenance.

Au final, la migration vers Credential Manager n'a pris que deux semaines à X Developers, suivies de deux semaines supplémentaires pour prendre entièrement en charge les clés d'accès. Saurabh Arora, ingénieur chez X, a déclaré que la migration avait été "très rapide" et que l'équipe "ne s'attendait pas à ce que ce soit aussi simple". Grâce à l'API simple et basée sur les coroutines du Gestionnaire d'identifiants, les complexités liées à la gestion de plusieurs options d'authentification ont été éliminées, ce qui a permis de réduire le code, le risque de bugs et les efforts globaux des développeurs.

X développeurs ont constaté une amélioration significative de leur vélocité en intégrant l'API Credential Manager. En adoptant les clés d'accès grâce à l'API Credential Manager, ils ont obtenu les résultats suivants :

• Réduction de 80% du code dans le module d'authentification
• Résolution de 90% des bugs liés aux cas extrêmes anciens
• Réduction de 85% du code de gestion de GIS, de One Tap et de Smart Lock

L'utilisation des méthodes de premier niveau de l'API Credential Manager, telles que createCredential et getCredential, a simplifié l'intégration en supprimant les complexités de la logique personnalisée entourant les protocoles individuels. Cette approche uniforme permettait également aux développeurs X d'utiliser une interface unique et cohérente pour gérer différents types d'authentification, tels que les clés d'accès, les mots de passe et les connexions fédérées comme Se connecter avec Google.

"Grâce aux méthodes d'API simples de Credential Manager, nous avons pu récupérer les clés d'accès, les mots de passe et les jetons fédérés en un seul appel, ce qui a réduit la logique de branchement et rendu la gestion des réponses plus propre", explique Saurabh. "L'utilisation de différentes méthodes d'API, comme createCredential() et getCredential(), a également simplifié le stockage des identifiants, ce qui nous a permis de gérer les mots de passe et les clés d'accès au même endroit."

Les développeurs X n'ont pas rencontré de difficultés majeures lors de l'adoption de Se connecter avec Google à l'aide de l'API Credential Manager. En remplaçant l'ancien code Google Sign-In, One Tap et Smart Lock de X par une implémentation plus simple de Credential Manager, les développeurs n'ont plus eu à gérer les états de connexion ou de déconnexion, ni les résultats d'activité, ce qui a réduit la marge d'erreur.

Un avenir avec des clés d'accès

L'intégration des clés d'accès par X montre qu'il est possible d'offrir une expérience d'authentification plus sécurisée et conviviale. En tirant parti de l'API Credential Manager, les développeurs de X ont simplifié le processus d'intégration, réduit les bugs potentiels et amélioré la sécurité et la vitesse de développement, tout en optimisant l'expérience utilisateur.

"Notre conseil pour les développeurs qui envisagent d'intégrer des clés d'accès est de profiter de l'API Credential Manager", a déclaré Saurabh. "Cela simplifie vraiment le processus et réduit le code que vous devez écrire et gérer, ce qui améliore l'implémentation pour les développeurs."

À l'avenir, X prévoit d'améliorer encore l'expérience utilisateur en autorisant les inscriptions avec des clés d'accès uniquement et en fournissant un écran dédié à la gestion des clés d'accès.

Premiers pas

Découvrez comment améliorer l'expérience utilisateur de connexion à votre application à l'aide des clés d'accès et de l'API Credential Manager.