E-mail de vérification

Pourquoi les e-mails de vérification sont importants

Les e-mails de vérification résolvent un problème simple : comment savoir si une personne est réellement propriétaire de l'adresse qu'elle a saisie ? Les fautes de frappe arrivent. Les robots existent. Et parfois, des personnes fournissent intentionnellement de fausses adresses pour profiter d'une réduction sans recevoir votre newsletter.

La vérification garantit que votre liste contient des contacts très engagés qui sont enthousiastes à l'idée de recevoir vos e-mails. Les personnes qui cliquent sont celles qui veulent réellement avoir de vos nouvelles. Et celles qui ne cliquent pas ? Vous ne les auriez pas atteintes de toute façon. 

La sécurité est l'autre grande raison. Les e-mails de réinitialisation de mot de passe figurent parmi les points de contact client les plus courants, et la vérification confirme que c'est bien le véritable propriétaire du compte qui a fait la demande. Sans cela, quelqu'un pourrait saisir votre adresse e-mail dans un formulaire de réinitialisation de mot de passe et accéder potentiellement à votre compte. 

Les clients de messagerie comme Spark gèrent la vérification automatiquement lorsque vous configurez vos comptes, mais le principe reste le même pour tous les fournisseurs. Cette étape de confirmation vous protège, vous et le service que vous utilisez.

Types d'e-mails de vérification

La vérification d'inscription à un compte arrive dans votre boîte de réception lorsque vous vous inscrivez à un nouveau service. Les utilisateurs saisissent leur adresse e-mail, puis confirment en cliquant sur un lien de vérification. C'est ce qu'on appelle le double opt-in. Cela élimine les fausses adresses et confirme l'intention avant que vous ne vous retrouviez sur la liste de diffusion de quelqu'un. 

La vérification de réinitialisation du mot de passe confirme que vous avez bien demandé la réinitialisation. Le délai d'expiration du lien est une mesure de sécurité importante pour le compte, qui garantit que le lien ne reste pas actif bien après son arrivée dans votre boîte de réception. Il expire généralement entre 15 minutes et une heure. Usage unique. 

Les e-mails de confirmation d'action vérifient les changements à fort enjeu, comme la mise à jour de votre adresse e-mail, l'association d'un moyen de paiement ou la suppression d'un compte. Essentiellement, tout ce qui serait vraiment problématique si quelqu'un le faisait sans votre permission.

Les codes d'authentification à deux facteurs comptent techniquement comme une vérification. Vous recevez un code à six chiffres par e-mail, vous le saisissez, et vous êtes authentifié. Moins sécurisé que l'authentification à deux facteurs basée sur une application, mais bien mieux que rien.

Comment fonctionnent les e-mails de vérification

Le service génère un jeton unique lorsque vous soumettez votre adresse e-mail. Ce jeton est intégré à un lien de vérification et vous est envoyé par e-mail. Vous cliquez sur le lien, le système valide le jeton, et vous êtes vérifié.

Les jetons doivent être générés à l'aide d'un générateur de nombres aléatoires cryptographiquement sécurisé, suffisamment longs pour protéger contre les attaques par force brute, et liés à un utilisateur individuel dans la base de données. Les bons jetons expirent rapidement et ne peuvent être utilisés qu'une seule fois. 

La page de confirmation est ce que vous voyez après avoir cliqué. Les meilleures sont simples : « E-mail vérifié » ou « Mot de passe réinitialisé avec succès ». Certaines incluent les étapes suivantes ou des liens utiles. Les pires se contentent de vous rediriger sans vous indiquer ce qui s'est passé.

En coulisses, le système invalide le jeton immédiatement après utilisation. Tous les jetons doivent être stockés de manière sécurisée et invalidés après utilisation. Cela empêche quelqu'un de réutiliser un ancien lien de vérification trouvé dans votre historique d'e-mails. 

Bonnes pratiques pour les e-mails de vérification

Envoyez-les instantanément. Les clients demandent généralement une réinitialisation de mot de passe au moment où ils ont besoin d'y accéder, ce qui signifie que plus l'e-mail arrive vite, mieux c'est. Tout délai supérieur à 30 secondes donne l'impression que quelque chose ne fonctionne pas.

Utilisez des objets clairs. « Vérifiez votre adresse e-mail » fonctionne. « Action requise : confirmez votre compte » fonctionne. « Bienvenue à bord ! » ne vous indique pas ce que vous devez faire.

Faites un bouton bien visible. Le mobile compte. Un flux de double opt-in classique a un taux de confirmation de 70 à 80 %, et chaque point de friction vous fait perdre des confirmations. De gros boutons, un texte court, une action évidente.

Définissez des délais d'expiration. Définir un délai d'expiration limite la période pendant laquelle un lien peut être utilisé, réduisant ainsi les risques d'accès non autorisé. 15 minutes pour les réinitialisations de mot de passe, 24 heures pour les confirmations d'e-mail. 

Expliquez ce qui se passe s'ils l'ignorent. Les gens s'inquiètent des e-mails de vérification qu'ils n'ont pas demandés. Dites-leur qu'ils peuvent l'ignorer sans risque s'ils n'en sont pas à l'origine, et fournissez un lien vers le support s'ils ont des inquiétudes.

N'exigez pas de réponse. Utilisez des adresses sans réponse pour les e-mails de vérification. Si la sécurité est cruciale pour votre application, une adresse sans réponse peut être une meilleure option. Le support doit figurer dans un lien de contact clairement identifié, et non dans des fils de réponses. 

Contenu associé

• 8 fonctionnalités essentielles que toute bonne application d'e-mail doit avoir
• Les règles essentielles à connaître pour une étiquette professionnelle des e-mails

Termes associés

• Authentification à 2 facteurs
• E-mail d'hameçonnage
• Automatisation des e-mails
• Signature d'e-mail