Pourquoi "Sign in with Apple" est vraiment génial

Apple a récemment annoncé la fonctionnalité "Connexion Apple". TJ VanToll explique comment cela fonctionne, ainsi que les avantages et les controverses qui l'accompagnent pour les développeurs et les utilisateurs.

Je pense que le processus de travail "Sign in with Apple" d'Apple est important. étape pour améliorer la sécurité et la convivialité des écrans de connexion.

Dans cet article, je vais expliquer ce qu'est "Connexion avec Apple", pourquoi j'estime que c'est une bonne chose pour les utilisateurs, le drame entourant la mise en œuvre d'Apple et certaines des

Mon argument principal est que le nouveau flux de travail d’Apple fournit l’innovation dont nous avons grand besoin pour un processus que tout le monde déteste – la connexion. Même si la mise en œuvre d’Apple est défectueuse (ce que nous verrons plus loin), nous espérons que cet effort susciter d'autres idées émanant d'autres géants de la technologie, optimisant ainsi le processus de connexion pour tous. Pour montrer de quoi je parle, commençons par un peu d’arrière-plan.

Pourquoi les mots de passe sont les pires

Un sondage 2018 réalisé par LastPass a montré que 59% des utilisateurs utilisent toujours ou principalement le même mot de passe, partout. La même étude a révélé que 45% des personnes ne se donnaient pas la peine de changer leur mot de passe lorsque leurs comptes étaient piratés et que 42% des personnes conservaient les mots de passe dans un fichier, comme un document Word ou un tableur Excel.

article, le livre le plus vendu de La catégorie «Internet et télécommunications» d'Amazon est le journal de bord pour l'adresse Internet et le mot de passe . Le JOURNAL DE MOTS DE PASSE SUR INTERNET qui a un design plus honnête que le best-seller, constitue la sixième place.

We ont échoué. Failed hard .

Aussi facile que cela puisse être de se moquer de tels livres, il est important de se rappeler que ces livres résolvent un problème réel. L'utilisation de mots de passe uniques est importante, mais il est impossible de se souvenir de plusieurs mots de passe, et tout le monde ne dispose pas des connaissances techniques nécessaires pour utiliser un gestionnaire de mot de passe.

Curieusement, vous pouvez invoquer de manière convaincante les utilisateurs de livre de mot de passe physique. sont plus sécurisés que les utilisateurs de mots de passe physiques, en supposant que les utilisateurs de livres de mots de passe physiques créent des mots de passe uniques pour chaque service utilisé

Quoi qu'il en soit, l'existence même de ces livres est révélatrice de la perturbation du processus de connexion pour la plupart des utilisateurs d'aujourd'hui.

Améliorer les connexions

Tout le monde sait que la manière dont nous nous connectons n'est pas idéale et de nombreuses entreprises de haute technologie ont essayé d'améliorer ce processus. L'avènement de l'authentification unique a été l'un des principaux progrès de l'utilisateur: il utilise un seul compte pour s'authentifier auprès de plusieurs applications ou services.

Un exemple de Single Sign-On dans une application iOS. L'utilisateur peut utiliser Google ou Facebook pour s'authentifier.

Le principal attrait de l'authentification unique est que les utilisateurs n'ont pas à créer ni à se souvenir d'un nouvel ensemble d'informations d'identification, ce qui leur permet de conserver un style de vie avec un seul mot de passe inconvénients normaux de la réutilisation des mots de passe.

Cependant, malgré son attrait, le SSO a aussi ses inconvénients. Plus précisément, la plupart des fournisseurs d'authentification unique exigent que vous fournissiez votre adresse électronique (et parfois d'autres informations) au service avec lequel vous vous authentifiez.

Tandis que fournir une adresse électronique semble anodin, les services loufoques vendent souvent des listes d'adresses électroniques à les annonceurs ou les spammeurs, ce qui augmente considérablement le spam que vous avez à traiter. Bien pire, même si un service n'a pas d'intention malveillante, les violations de données peuvent exposer votre courrier électronique à des pirates informatiques du monde entier, ce qui ouvre la possibilité d'attaques sur les comptes que vous avez créés sur le Web avec le même courrier électronique.

Enter Apple

Dans ce contexte, Apple a annoncé au début du mois une nouvelle fonctionnalité "Connexion avec Apple" qui, à première vue, fonctionne de manière très similaire aux mécanismes d'authentification unique de Google, Facebook et autres, utilisés par des milliers d'applications aujourd'hui.

Cependant, le nouveau flux de travail d’authentification d’Apple offre une solution novatrice: lorsque vous vous connectez à Apple, vous pouvez choisir de partager votre courrier électronique avec le service auquel vous vous inscrivez ou de le masquer. 19659003]
Un exemple de 'Connexion avec Apple' en action dans un exemple d'application.

Si vous choisissez de masquer votre email, Apple créera un hôte Apple généré aléatoirement Adresse e-mail ed, qui recevra tous les messages en votre nom et les transmettra à votre adresse e-mail légitime.

Ce flux de travaux atténue un grand nombre des problèmes de confidentialité associés à des solutions d'authentification unique similaires d'entreprises telles que Google et Facebook. Si un service louche vend votre courrier électronique à un annonceur, vous pourrez facilement désactiver le transfert du courrier électronique pour arrêter le courrier indésirable. Mieux encore, si votre adresse électronique générée est exposée à une violation de données, vous pouvez être rassuré, car votre adresse électronique générée par Apple est unique, de sorte que les pirates informatiques ne pourront pas utiliser cette adresse lors d'attaques ultérieures.

C'est une solution élégante. à un problème commun; une solution que Google et Facebook, par exemple, hésiteraient peut-être à reproduire, car chacune d'entre elles gagne le gros de ses revenus auprès des annonceurs, des annonceurs qui aiment beaucoup suivre les internautes à l'aide de leur adresse électronique sur le Web. Comme Apple ne s'appuie pas sur un modèle de revenus similaire, ils sont particulièrement bien placés pour innover et offrent aux utilisateurs une option d'authentification centrée sur la confidentialité. Cela étant dit, Apple n’a pas ses propres motivations.

The Drama

Apple a tout intérêt à être perçue comme une entreprise axée sur la protection de la vie privée; elle a donc créé et promu le «Connectez-vous avec Apple».

Plus intéressante est la nouvelle qui a éclaté peu après WWDC, lorsque les développeurs ont trouvé une documentation indiquant que Apple aurait besoin d'applications prenant en charge les connexions tierces pour se connecter. avec Apple. Voici le libellé exact du site d’Apple .

"La connexion à Apple sera disponible pour les tests bêta cet été. Cette option sera requise pour les utilisateurs d'applications fonctionnant avec la connexion tierce lorsqu'elle sera disponible dans le commerce plus tard cette année. »

Cette décision controversée a immédiatement déclenché un débat houleux dans le monde de la technologie. Les opposants à la décision d’Apple ont affirmé qu’Apple utilisait son contrôle monopolistique sur la plate-forme iOS pour faire progresser sa propre solution d’authentification unique.

Tirer parti de leur position de gardien de la communauté fermée pour promouvoir leur propre produit unique? Ouais, l'UE va au moins se faire regarder. Peu importe qu'il s'agisse d'une option supplémentaire ou non, le fait qu'il soit requis est suffisant …

– Richard Price (@RichardPrice) 3 juin 2019

woah. Ce sont des mouvements de "jardin muré" comme celui-ci qui me rendent heureux d'écrire des applications Web.

– Jared Beck (@jaredowenbeck) le 3 juin 2019

Monopoliste va monopoliser

– Caitlin Fitzharris (@caitlintackles) Le 5 juin 2019

Le timing est en effet intéressant, car Apple est activement poursuivie par les développeurs et les consommateurs pour ses politiques concernant l'App Store . Vous pensez peut-être que la société éviterait des manœuvres potentiellement monopolistiques alors que d'autres parties d'iOS ont engagé des poursuites antitrust – mais apparemment, Apple n'est pas inquiet, ou ils ne croient pas que leurs actions ici sont monopolistiques.

Selon l'argument, ceux qui sont en faveur de la décision d'Apple d'exiger 'Connexion avec Apple' affirment que Apple doit exiger que son nouveau flux de travaux pour que les applications utilisent réellement cette fonctionnalité.

Le problème "Connexion avec Apple ", c’est que les développeurs ne la proposent pas. Ils ont besoin de votre véritable adresse e-mail pour les campagnes de réengagement. Fb le fournit avec joie.

– Josh Constine (@JoshConstine) Le 3 juin 2019

On dirait que cela devrait être le cas. Sinon, il partagerait le même sort que tout ce genre de choses BrowserID, OpenID. Je pense que les applications prennent souvent en charge l'authentification unique parce qu'elles veulent les données qui les accompagnent. La plupart n'ont jamais été intéressés par une option sans données.

– Moxie Marlinspike (@moxie) le 4 juin 2019

Cette partie de l'argument est convaincante. Pour le meilleur ou pour le pire, les applications individuelles ne sont guère incitées à mettre en œuvre des fonctionnalités axées sur la confidentialité pour les utilisateurs. Il est donc raisonnable de penser que la plupart d'entre elles ignoreraient la nouvelle API d'Apple si elles le pouvaient.

Vous souvenez-vous de BrowserID? Il s’agissait d’une fonction défendue par Mozilla: fournir une authentification unique sur le Web à l’aide de votre adresse électronique . C’était une excellente idée, qui présentait de réels avantages pour les utilisateurs, mais elle n’a jamais décollé, car très peu de développeurs l’a réellement intégrée .

Si vous êtes un créateur d’applications, pourquoi implémenter BrowserID ou "Connectez-vous avec Apple" lorsque vous avez une feuille de route remplie de tâches en retard? En outre, le flux de travail basé sur Apple vise à empêcher votre service de collecter des données utilisateur, données que tous les départements marketing et ventes auront du mal à abandonner sauf forcé.

Ainsi, bien que "Connexion avec Apple" ne soit pas parfait, et bien qu'il soit inquiétant de donner encore plus de contrôle à Apple sur les utilisateurs iOS, le mandat imposera au moins à toutes les applications utilisant des connexions tierces de réévaluer sérieusement la manière dont elles gèrent les données de leurs utilisateurs.

The Broader Point

Plus généralement J'espère que les efforts d'Apple à cet égard entraîneront de nouvelles avancées dans le monde de la gestion des mots de passe. Nous sommes en 2019 et la plupart des gens achètent des gestionnaires de mots de passe, achètent des livres pour écrire leurs mots de passe ou abandonnent et se connectent avec le nom de leur chat sur le Web. Je pense que nous avons parfaitement le droit d'exiger davantage des géants de la technologie pour nous aider à résoudre ce problème.

Par exemple, Google et Facebook prétendent tous deux se soucier de la vie privée de leurs utilisateurs, et les deux ont les ressources nécessaires pour créer des systèmes similaires. ne demandons-nous pas qu’elles fournissent un moyen de s’authentifier auprès d’applications tierces dotées de protections de la vie privée similaires? Mieux encore, que se passerait-il si une entreprise de technologie repensait une solution semblable à celle de BrowserID, évitant ainsi à une seule entreprise d'exercer un contrôle total?

Il n'y a pas de solution facile, mais j'espère que la décision énergique d'Apple suscitera des innovations qui feront progresser la sécurité et la confidentialité des utilisateurs. Chez Progress, nous avons déjà prévu de travailler avec les nouvelles API d’Apple. Les utilisateurs de NativeScript peuvent commencer à expérimenter avec 'Connectez-vous avec Apple' aujourd'hui avec le nouveau plug-in nativescript-apple-sign-in .

Et parce que 'Sign in with Apple' est basé sur OAuth 2.0, Les utilisateurs de Kinvey pourront utiliser le nouveau flux de travail d’Apple avec Mobile Identity Connect de Kinvey plus tard cet automne.