Vérifier les composant graphique

Chaque composant graphique devrait être à sa place selon les spécifications.

• • Le champ Username
  • Le champ Password
  • Le Bouton de connexion
  • Le lien « mot de passe oublié »
  • Le bouton de Signup (inscription)
  • Les sections des autres méthodes de connexion (réseaux sociaux, faciale, empreinte, etc…)
  • Le bouton « Se souvenir de moi »
  • Les images
  • Le favicon

Vérifier le wording

• • Vérifier les fautes d’orthographe
  • Vérifier les bonnes traductions

Vérifier l’accessibilité du contenu web (WCAG en anglais)

• • Vérifier l’application de la charte graphique
    • Couleur
    • Typographie

Vérifier le contenu

Il faut vérifier le contenu de chaque message et sa disposition dans la page :

• • La disposition des éléments doit être intuitive (l’utilisateur doit facilement trouver comment se connecter)
  • Les messages doivent être suffisamment informatifs et compréhensibles
  • La page devrait être structurée (ex: champ username avant le password)
  • L’intégration devrait être liée logiquement (ex: après la connexion, on doit arriver sur la page d’accueil et non pas la page de contact)

TestER LA compatibilité 

• • La page d’authentification (au minimum) devrait être compatible avec plusieurs navigateurs

TestER LA portabilité

Le module d’authentification devrait être utilisable (responsive) sur:

• • Un ordinateur
  • Un smartphone
  • Une tablette
  • Une montre

TestER LA navigation

• Vérifier que la touche Enter/Tab fonctionne à la place du bouton de connexion.
• Vérifier que les aller-retour du navigateur sur la page fonctionnent sans perte de connexion
• Vérifier que l’utilisateur devrait toujours être connecté après une série d’actions telles que la fermeture du navigateur et la réouverture de l’application.

Tester les composants individuellement

Pour chaque composant de la page de login, il faudrait tester les actions possibles et les évènements associés:

• • Boutons: le bouton « se connecter » est il bien cliquable? 
  • Champs: les contrôles de vérifications pour chaque champ sont elles appliquées?
  • Select: la sélection de la méthode d’authentification fonctionne t elle?
  • Checkbox: le checkbox « se souvenir de moi » fonctionne t il?
  • Liens de redirections: des liens morts existent ils sur la page de login?

Tester les combinaison des champs

Après avoir testé individuellement les éléments, il faut essayer les combinaisons: 

• • Mettre un Username mais pas de Password et vérifier les messages d’erreurs quand on valide, essayer l’inverse, etc… (voir la section des tests négatifs)
  • Vérifier que les espaces ne doivent pas être autorisés dans un mot de passe.

Vérifier tous les liens

Chaque lien de la page de login devrait rediriger vers les bonnes cibles

• • Mot de passe oublié
  • Bouton Signup
  • Se connecter avec un compte réseau social
  • Contact

Vérifier la validité des caractères dans les champs

• • Champ mail doit contenir un seul « @ »
  • Champ mail doit contenir un point « . »
  • Champ Password doit être crypter et caché

Vérifier les messages de validation

Par exemple, en cas de dépassement de la limite de caractères des champs Nom d’utilisateur et Mot de passe.

Intégration direct avec les ressources

• • • Redirection vers la page principale après une authentification réussie
    • Redirection vers la page de Login après une Déconnexion
•  

Intégration avec les application tier

• • • Linkedin
    • Google
    • FranceConnect
    • Facebook
    • Dashlane
    • 1password
    • SMS
    • E-mail
    • Application de double authentification
    • Empreinte digital
    • Empreinte facial
    • Empreinte vocal

TestER LES sessions

• • Déconnexion automatique de l’utilisateur après un certain temps (connu à l’avance)

Tester le nombre de tentatives de connexions

• • Blocage du compte après un certain nombre d’essai (nombre connu)
  • Tentative suspendu pour un délai (définit) après un certain nombre d’essai (nombre connu)
  • Invitation au captcha si trop de tentatives

Tester le contrôle de la validité d’un mot de passe:

• • Longueur 
    • Test des valeurs limites: court, long, vide
  • Caractère spéciaux (espace, $, …)
  • Chiffres
  • Lettre
  • Affichage d’un message d’aide

Controler les tentatives d’accès aux ressources

• Un utilisateur avec une session BLOQUE NE devrait PAS pouvoir se connecter avec un BON identifiant et un BON login
• Un utilisateur qui n’a pas validé son inscription (ou ONBOARDING) NE devrait PAS pouvoir se connecter avec un BON identifiant et un BON login
• Vérifier que l’utilisateur ne doit pas être autorisé à demander fréquemment un mot de passe oublié.
• L’accès à une ressource de l’application via URL direct sans avoir passé l’authentification devrait être bloqué
• Vérifier que la page de connexion est protégé à l’injection SQL
• Vérifier si la page de connexion présente une vulnérabilité au Cross-site scripting (XSS). La vulnérabilité XSS peut être utilisée par les pirates pour contourner les contrôles d’accès.
• Vérifier la fonctionnalité du CAPTCHA:
  
  
  • Il y a une validation côté client lorsque l’utilisateur ne saisit pas le CAPTCHA.
  • Le lien de rafraîchissement du CAPTCHA génère le nouveau CAPTCHA.
• Vérifier que le certificat SSL est implémenté

Vérifier les requetes

• Vérifier les erreurs dans la console du navigateur pendant les tests (Devtools)
  • Erreurs de requêtes
  • Les statuts HTTP (404, 500, 401)

Tester la double authentification

• • Par sms
  • Par un logiciel tiers
  • Par email

Tester les possibilités d’authentification

• • Empreinte digitale
  • Reconnaissance vocale ou faciale
  • Réseaux sociaux

Tester les options d’authentifications

• Case à cocher « Se souvenir de moi » et vérifier que ca marche
  • Valeur par défaut: Décoché
• Case à cocher « Garder ma connexion » et vérifier que ca marche
  • Valeur par défaut: Décoché

Tester un nouveau mot de passe

• Vérifiez que l’utilisateur peut se connecter avec le nouveau mot de passe après l’avoir modifié.
• Vérifiez que l’utilisateur ne doit pas pouvoir se connecter avec l’ancien mot de passe après avoir changé le mot de passe.
• Vérifiez que le mot de passe peut être copié-collé. 
  • Le système ne doit pas permettre aux utilisateurs de copier-coller le mot de passe.
  • Vérifiez que les caractères cryptés dans le champ « Mot de passe » ne doivent pas pouvoir être déchiffrés s’ils sont copiés.

Tester les COOKIES

• • Vérifiez qu’en SUPPRIMANT les COOKIES, l’utilisateur ne se connecte pas automatiquement
  • Vérifiez la fonctionnalité de connexion lorsque les cookies du navigateur sont désactivés.
  • Vérifier si le navigateur stocke les mots de passe dans le cookie au cours d’une SESSION

Tester le LOCALSTORAGE:

• Vérifier si le navigateur stocke les mots de passe dans le localstorage quand « se souvenir de moi‘ option est cochée

• Vérifier combien de comptes d’utilisateurs en même temps peuvent se connecter sur l’application
• Mobile
• Web
• Tablette
• Montre

• Vérifier en combien de temps après la connexion se charge la page principale