Réaliser le formulaire de login parfait relève un peu de l’utopie ergonomique, tandis qu’il est particulièrement facile de se tromper. Dans son article en deux parties, Account sign-in, 8 *2 mistakes to avoid Jared Spool détaille 16 erreurs à ne pas commettre quand on crée un tel formulaire. Il y étudie le formulaire lui-même, mais également tout ce qui va autour : placement, opportunité… en l’appliquant à la boutique en ligne du site de Cisco.

Plutôt que de traduire simplement son billet, j’ai repris les 16 points étudiés, et j’ai tenté de les appliquer aux cas les plus génériques possibles, afin de pouvoir les réutiliser sur tous les types de sites et d’applications possibles.

Erreur #1 : forcer l’utilisateur à s’authentifier avant toute chose

Les sites exigeant une authentification dès la page d’accueil sont légion. Les raisons en sont diverses, mais on peut cependant en tirer deux principales :

  • Le site a été conçu par des acharnés de l’emailing qui exigent de connaître toutes les personnes y accédant.
  • Le site ne propose que des contenus accessibles à des utilisateurs authentifiés : dépôts de documenta, sites pornographiques, réseaux sociaux…

Dans tous les cas, exiger l’authentification à l’arrivée est une très mauvais idée qui risque de vous faire perdre 90% de vos visiteurs. En règle générale, tous vos contenus ne devront pas être accessibles aux seuls authentifiés, et notamment des pages capitales comme :

  • À propos.
  • Mentions légales.
  • Pourquoi s’inscrire ?

D’une manière plus générales, et les sites pornographiques l’ont bien compris, la meilleure chose à faire pour appâter le chaland reste encore de le laisser se promener un peu afin de découvrir à quoi il aura droit une fois entré.

Erreur #2 : demander l’authentification trop tôt

L’authentification, et donc par conséquent l’inscription doivent être demandées le plus loin possible dans l’acte d’achat, afin de ne pas freiner le client dans ses courses, principalement sur un site de e-commerce. Nombreux sont encore les sites marchands qui exigent une inscription pour la moindre ouverture de panier. Parfois, et c’est encore pire, il faut s’authentifier avant de pouvoir accéder aux produits. Même si l’accès à certains produits peut être réservé à certains clients, cette démarche est particulièrement déceptive pour l’internaute qui se retrouve face à un véritable chantage : si tu veux voir, tu paies. Idéalement, l’authentification devrait se faire au moment du checkout, cependant de trop nombreux sites l’exigent bien avant, et ce afin de ne pas perdre de précieuses entrées dans leur CRM, même si l’acte d’achat ne se fait pas.

La vérité, c’est qu’ils risquent d’en perdre bien plus que d’en gagner.

Erreur #3 : passer les avantages de l’inscription sous silence

Vos utilisateurs ont certainement d’excellentes raisons de s’inscrire, cependant ils ne peuvent pas les deviner tout seuls. Là encore, l’industrie pornographique est leader dans le domaine en montrant de manière plus qu’explicite pourquoi il ne faut pas rester dans le petit tour gratuit.

  • Messages clairs et concis.
  • Images explicites.

J’aime beaucoup la page d’accueil de Flickr qui est un modèle du genre et devrait en inspirer beaucoup en étant toute entière une invitation et à l’inscription et à l’utilisation :

  • Une baseline share your photos, watch the world qui résume à la fois ce que propose Flickr et pourquoi il faut s’inscrire.
  • Présentation claire des autres fonctionnalités proposées : partager et rester en contact, créer des objets, explorer…
  • Mise en avant de la vivacité du site avec les dernières statistiques d’activité du site, particulièrement impressionnantes.
  • Mise en avant de la simplicité d’inscription pour les utilisateurs de Yahoo! ID.

Erreur #5 : Ne pas afficher explicitement les liens “créer un compte” ou “j’ai perdu mon mot de passe”

Pour des questions d’accessibilité et d’utilisabilité, il faut que les liens aient l’air de liens, ou au moins de boutons. Particulièrement les liens utilitaires que sont “créer un compte” et “j’ai perdu mon mot de passe”. Ces deux liens doivent être présents sur tout formulaire d’authentification, et se détacher de l’information générique. En un mot, il faut que l’utilisateur voit que ce sont des liens (ou des boutons) et qu’ils sont présents et bien présents.

Erreur #6 : ne pas offrir de formulaire de login aux points clés

D’une manière générale, les utilisateurs préfèrent s’authentifier le plus tard possible. Cela peut être parce qu’ils ne souhaitent pas devoir retrouver leurs identifiants de connexion avant d’en avoir vraiment besoin, ou parce qu’ils sont immergés dans leur navigation. C’est seulement quand ils se retrouvent en position de ne pas avoir à redonner des informations – par exemple des informations de paiement – qu’ils souhaitent enfin s’authentifier.

Les meilleurs sites anticipent ces moments, en plaçant des formulaires d’authentification aux points clé. Orbitz, par exemple, laisse les utilisateurs aller assez loin dans le processus d’achat, puis leur propose de s’authentifier afin de récupérer leurs préférences de vol, comme les repas, ou la position de leur siège coté couloir ou fenêtre.

Erreur #7 : demander trop d’informations à l’inscription

Demander un très grand nombre d’informations à l’inscription est une faute courante, tant imaginer que le visiteur n’en est plus à un champs près peut être tentant. Certains sites demandent ainsi 4 pages de renseignements personnels divers, et pas toujours justifiés.

Au contraire, l’utilisateur voudra remplir le moins d’informations possibles, idéalement un nom d’utilisateur et un mot de passe (et un email si celui-ci n’est pas l’identifiant). Les concepteurs du site ont ensuite tout le loisir de lui demander des compléments d’informations motivés : au moment de la facturation pour les adresses de facturation et de livraison, ou au cours d’opérations gratifiantes.

Erreur #8 : ne pas dire à quoi serviront les informations demandées

Une erreur courante est de chercher à enrichir sa base CRM en demandant à l’utilisateur plus d’informations qu’il n’en est nécessaire. Cela peut alors entraîner des réactions de rejet pour des demandes tout à fait normales mais qui ne semblent pas justifiées à priori.

L’idéal dans ce cas est de préciser pourquoi telle ou telle information est demandée. L’Apple Store, par exemple, demande le numéro de téléphone professionnel de ses clients afin de pouvoir les contacter en cas de problèmes puisque les livraisons se font en journée. Ça ne coûte rien, et ça rassure quant à l’utilisation potentielle des données privées.

Erreur #9 : ne pas expliciter les pré requis pour les identifiants et mots de passe

Quand j’ai reçu mon invitation sur Gmail, au mois d’août 2003, j’ai tenté de prendre neuro@gmail.com. Réponse de Google : votre identifiant doit faire au moins 6 caractères. Un peu énervant, surtout qu’à l’époque Gmail était une vraie nouveauté, et que j’étais particulièrement excité de pouvoir tester ce service. Aujourd’hui, Gmail propose à ses futurs utilisateurs un bouton permettant de tester la disponibilité d’un email, dont je parlais récemment dans un article sur la bonne utilisation d’AJAX. Ce dernier m’affiche non seulement la disponibilité de l’adresse, mais également la conformité de l’adresse demandée aux règles de gestion Gmail.

Il doit en être de même de vos formulaires d’inscription. Indiquez explicitement les caractères autorisés et la longueur minimum du login de manière bien visible à coté de son champs, et faites de même pour le mot de passe. Vous éviterez ainsi à vos utilisateurs frustration et perte de temps, les emmenant directement vers le plus important : l’acte d’achat, quel qu’il soit.

Erreur #10 : exiger un mot de passe plus compliqué que le code de la bombe atomique

La plupart des gens choisissent leurs mots de passe en fonction de l’importance de l’information à protégér. Ils se demandent “quelles seront les conséquences d’une divulgation de ces informations”. Quand ils en ont quelque chose à faire, cependant les réactions du type “ça n’arrivera jamais” sont – Dieu merci – de plus en plus rares. La grande majorité des gens que je connais utilisent un, deux, ou trois mots de passe, en fonction de la criticité des informations à protéger.

Mettez en place des politiques de choix du mot de passe relativement modérées, sinon les mots de passe habituels de vos utilisateurs ne rentreront pas dans les cases. Vous pouvez en revanche tester en direct la force du mot de passe utilisé, par exemple à l’aide d’une barre de progression, mais uniquement à titre informatif.

Et puis, honnêtement, plus vous serez exigeant, et plus vous aurez de risques que quelqu’un tente effectivement de rentrer.

Erreur #11 : utiliser des questions secrètes dont ils ne se souviendront plus dans un an

Les questions secrètes posées par les sites ont l’air trivialement génériques alors même qu’elles peuvent se révéler de vrais casse-têtes à long terme, notamment parce qu’il est très difficile de se rappeler de ce qu’on a rentré. À la question “dans quelle rue avez-vous grandi ?”, est-ce que j’ai mis “Léon Cognet”, “rue Léon Cognet”, “rue Léon Cognet à Paris”, ou autre chose ? Essayez de vous en rappeler au bout d’un an, deux ans ou plus.

Pire encore, les réponses sont le plus souvent sensibles à la casse, rajoutant une dimension supplémentaire au cauchemar de celui qui n’arrive déjà plus à retrouver son mot de passe.

La méthode de la question secrète est loin d’avoir fait ses preuves sur le long terme, et il faudra certainement chercher dans une autre direction.

Erreur #12 : ne pas renvoyer les utilisateurs à leur objectif premier

Un point essentiel de la navigation web se trouve résumé dans le seul titre du livre de Patricia Gallot Lavalée : Donne moi ce que je veux !. Se souvenir de ce principe permet d’éviter le scénario catastrophe pourtant trop souvent rencontré :

  1. Je parcours un site à la recherche d’une information.
  2. L’information est située en zone protégée, le site me demande donc de m’authentifier.
  3. Une fois entrés mon login et mon mot de passe, je me retrouve, au choix, sur mon profil, une page me souhaitant la bienvenue, l’index…
  4. Super énervé, je recommence ma navigation à la recherche de mon information perdue.

Évidemment, ce scénario décrit précisément ce qu’il ne faut pas faire. Que vous deviez interrompre la navigation de votre utilisateur afin de l’authentifier est une chose (pas toujours agréable), mais ne pas le ramener là où il souhaitait être, c’est le comble de l’impolitesse.

Erreur #13 : ne pas expliquer si c’est le login ou le mot de passe qui est faux

Sans aller jusqu’à dire qu’on a autant d’identifiants que de compte sur le web, il peut arriver que l’on doive se passer, pour une raison ou une autre de son identifiant habituel. Comment me rappeler quel pseudonyme j’ai utilisé, ou si j’ai fourni mon adresse de FAI, une adresse jetable, mon adresse professionnelle… Il en va de même pour les mots de passe ; pourvu que j’en ai 3 ou 4, sans compter ceux que les sites me forcent à utiliser sans me permettre de le modifier à ma guise, on arrive facilement à une vingtaine de combinaisons possibles.

La moindre des politesses serait donc de dire à l’utilisateur s’il se trompe d’identifiant ou de mot de passe. Dans le premier cas, j’afficherai “Désolé, mais nous ne pouvons trouver de compte correspondant à cet identifiant et / ou à ce mot de passe”. Dans le second, “L’identifiant et le mot de passe fournis ne correspondent pas”. Dans le premier cas, je sais que je me suis trompé de login, puisque le compte n’existe pas. Dans le second cas, le comtpe existe, mais je me suis trompé de mot de passe.

Même si d’un point de vue utilisabilité je suis parfaitement d’accord avec Jared Spool, je ne l’apprécie pas trop d’un point de vue sécurité, principalement quand c’est l’email qui sert d’identifiant. Il m’est en effet facile de créer un script de traitement par brute-force sur l’email avec un mot de passe improbable, afin de me composer une base de phishing relativement qualifiée. De deux maux, il faut parfois choisir le moindre.

Erreur #14 : omettre le lien vers l’inscription lorsque l’utilisateur se trompe de login.

Beaucoup d’utilisateurs sont inscrits sur un très grand nombre de sites, et il peut arriver que l’on oublie ne pas s’être inscrit sur tel ou tel site, même si le contraire est beaucoup plus fréquent. Combien de fois ne me suis-je pas étonné “tiens, j’ai un compte sur ce trucs là moi”. Eh oui. Un utilisateur qui essaie de s’authentifier avec ses identifiants et mots de passe habituels aura toutes les chances d’ouvrir un compte si ceux-ci ne correspondent pas.

En ajoutant un lien “pas encore membre ? je m’inscris !” sur votre page d’erreur de login, vous captez ces utilisateurs potentiels bien plus sûrement que si vous les forcez à revenir en arrière afin de trouver le bon lien.

Erreur #15 : ne pas donner de solution de récupération de mot de passe autre que l’email

Bien qu’étant pour l’utilisation de l’email comme identifiant unique, je conçois aussi tout à fait que les gens puissent changer d’adresse dans le temps, ou ne pas se rappeler avec quelle adresse ils ont pu s’inscrire il y a deux ou trois ans de cela. Renvoyer son mot de passe à un utilisateur par email est une bonne chose, encore faut-il qu’il se souvienne duquel il s’est servi.

Proposez une seconde manière de renvoyer leur mot de passe à vos utilisateurs – par email, toujours – qui leur permettra de pallier leur défaillance mémorielle. Cela peut-être leur nom complet, un numéro de compte ou de service associé au site… les possibilités ne manquent pas.

Erreur #16 : exiger plus d’un élément pour renvoyer le mot de passe de vos utilisateurs

Un grand classique des formulaires de ce genre demande à la fois l’adresse email utilisée ET le résultat de la question secrète. Ce fut notamment le cas d’Ebay il y a quelques années, et la raison de la résiliation de mon tout premier compte, aux alentours de 1998 ou 1999. Demander l’un ou l’autre – en laissant le choix – est une bonne chose. Malheureusement, demander les deux à la fois augmente la difficulté de manière exponentielle. Soyons sérieux, si votre utilisateur perd son mot de passe, vous croyez vraiment qu’il se souviendra de tous ces détails ?

Conclusion

Créer un bon formulaire de login est une tache particulièrement difficile, car elle nécessite de prendre en compte non seulement le formulaire lui-même, mais également son placement dans le reste du site, ses interactions avec les parties critiques de votre application, ou son intégration dans votre charte graphique. Je n’aurai alors qu’un seul conseil à vous donner : essayez, essayez, et essayez encore. Faites régulièrement tester votre formulaire de login par des utilisateurs du site, nouveaux et habitués afin de déterminer quels sont les points qui clochent, et n’oubliez-pas de regarder ce que font les autres.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: