X est une application de réseaux sociaux qui vise à aider près de 500 millions d'utilisateurs dans le monde à obtenir toutes les informations et les commentaires en direct, qu'il s'agisse d'actualités, de divertissement, de sport ou de politique. Récemment, les développeurs de X ont repensé le processus de connexion de l'application Android afin que les utilisateurs ne manquent jamais les conversations qui les intéressent. À l'aide de l'API Credential Manager, l'équipe a implémenté une nouvelle authentification par clé d'accès pour un accès plus rapide, plus facile et plus sécurisé à l'application.

Simplifier la connexion avec les clés d'accès

Aujourd'hui, les systèmes d'authentification traditionnels basés sur des mots de passe sont moins sécurisés et plus sujets aux cyberattaques. De nombreux utilisateurs choisissent souvent des mots de passe faciles à deviner, que les pirates peuvent facilement déchiffrer à l'aide d'attaques par force brute. Ils réutilisent également les mêmes mots de passe sur plusieurs comptes, ce qui signifie que si un mot de passe est piraté, tous les comptes sont compromis.

Les clés d'accès répondent à la préoccupation croissante concernant la sécurité des comptes en raison de la faiblesse des mots de passe et des attaques de phishing en éliminant complètement le besoin de mots de passe. Cette fonctionnalité offre une expérience de connexion plus sûre et plus fluide, permettant aux utilisateurs de ne plus avoir à mémoriser leurs noms d'utilisateur ni leurs mots de passe.

"Les clés d'accès sont un moyen plus simple et plus sécurisé de se connecter. Elles remplacent les mots de passe par des codes PIN ou des données biométriques telles que les empreintes digitales ou la reconnaissance faciale", explique Kylie McRoberts, responsable de la sécurité chez X. "Nous avons exploré l'utilisation de clés d'accès pour rendre la connexion plus facile et plus sûre pour les utilisateurs, en les aidant à protéger leurs comptes sans avoir à se soucier de mémoriser des mots de passe."

Depuis l'implémentation des clés d'accès, l'équipe X a constaté une réduction considérable des temps de connexion et des métriques indiquant une amélioration du flux de connexion. Avec les clés d'accès, le taux de réussite des connexions à l'application a doublé par rapport à la période où elle ne reposait que sur des mots de passe. L'équipe a également constaté une baisse des demandes de réinitialisation de mot de passe de la part des utilisateurs qui ont activé les clés d'accès.

Selon les développeurs de X, l'adoption des clés d'accès a même apporté des avantages au-delà de la sécurité renforcée et de l'expérience de connexion simplifiée, comme la réduction des coûts et l'amélioration de l'expérience utilisateur.

"Les clés d'accès nous ont permis de réduire les dépenses liées à l'authentification à deux facteurs par SMS, car elles offrent une authentification forte et inhérente", explique Kylie. "De plus, grâce à la facilité de connexion, les utilisateurs sont plus susceptibles d'interagir avec notre plate-forme, car il est moins difficile de mémoriser ou de réinitialiser les mots de passe."

Les clés d'accès reposent sur la cryptographie à clé publique pour authentifier les utilisateurs et leur fournir des clés privées. Cela signifie que les sites Web et les applications peuvent voir et stocker la clé publique, mais jamais la clé privée, qui est chiffrée et stockée par le fournisseur d'identifiants de l'utilisateur. Comme les clés sont uniques et liées au site Web ou à l'application, elles ne peuvent pas être obtenues par hameçonnage, ce qui renforce leur sécurité.

Intégration fluide à l'aide de l'API Credential Manager

Pour intégrer les clés d'accès, les développeurs de X ont utilisé l'API Credential Manager d'Android, ce qui a rendu le processus "extrêmement fluide", selon Kylie. L'API unifie Smart Lock, One Tap et Se connecter avec Google dans un workflow unique et simplifié. Cela a également permis aux développeurs de supprimer des centaines de lignes de code, ce qui a accéléré l'implémentation et réduit les frais de maintenance.

Au final, la migration vers Credential Manager n'a pris que deux semaines aux développeurs de X, suivies de deux semaines supplémentaires pour prendre entièrement en charge les clés d'accès. Il s'agissait d'une "migration très rapide" et l'équipe "ne s'attendait pas à ce que ce soit aussi simple et direct", explique Saurabh Arora, ingénieur chez X. Grâce à l'API simple et basée sur les coroutines de Credential Manager, les complexités liées à la gestion de plusieurs options d'authentification ont été éliminées, ce qui a réduit le code, la probabilité de bugs et les efforts globaux des développeurs.

Les développeurs de X ont constaté une amélioration significative de leur vitesse de développement en intégrant l'API Credential Manager. En passant à l'adoption des clés d'accès via l'API Credential Manager, ils ont obtenu les résultats suivants :

• Réduction de 80 % du code dans le module d'authentification
• Résolution de 90 % des bugs de cas extrêmes hérités
• Réduction de 85 % du code de gestion de GIS, One Tap et Smart Lock

L'utilisation des méthodes de premier niveau de l'API Credential Manager, telles que createCredential et getCredential, a simplifié l'intégration en supprimant les complexités de logique personnalisée liées aux protocoles individuels. Cette approche uniforme a également permis aux développeurs de X d'utiliser une interface unique et cohérente pour gérer différents types d'authentification, tels que les clés d'accès, les mots de passe et les connexions fédérées comme Se connecter avec Google.

"Grâce aux méthodes d'API simples de Credential Manager, nous avons pu récupérer des clés d'accès, des mots de passe et des jetons fédérés en un seul appel, ce qui a réduit la logique de branchement et rendu la gestion des réponses plus propre", explique Saurabh. "L'utilisation de différentes méthodes d'API, telles que createCredential() et getCredential(), a également simplifié le stockage des identifiants, ce qui nous a permis de gérer les mots de passe et les clés d'accès au même endroit."

Les développeurs de X n'ont pas rencontré de difficultés majeures lors de l'adoption de Se connecter avec Google à l'aide de l'API Credential Manager. Le remplacement du code précédent de X pour Se connecter avec Google, One Tap et Smart Lock par une implémentation plus simple de Credential Manager a permis aux développeurs de ne plus avoir à gérer les états de connexion ou de déconnexion ni les résultats d'activité, ce qui a réduit la marge d'erreur.

Un avenir avec les clés d'accès

L'intégration des clés d'accès par X montre qu'il est possible d'offrir une expérience d'authentification plus sécurisée et plus conviviale. En tirant parti de l'API Credential Manager, les développeurs de X ont simplifié le processus d'intégration, réduit les bugs potentiels et amélioré à la fois la sécurité et la vitesse de développement, tout en améliorant l'expérience utilisateur.

"Nous conseillons aux développeurs qui envisagent d'intégrer des clés d'accès de profiter de l'API Credential Manager", explique Saurabh. "Elle simplifie vraiment le processus et réduit le code que vous devez écrire et maintenir, ce qui améliore l'implémentation pour les développeurs."

À l'avenir, X prévoit d'améliorer encore l'expérience utilisateur en autorisant les inscriptions uniquement avec des clés d'accès et en fournissant un écran de gestion des clés d'accès dédié.

Premiers pas

Découvrez comment améliorer l'expérience utilisateur de connexion de votre application à l'aide de clés d'accès et de l'API Credential Manager.