Authentification multi-facteurs (MFA)

Protège ton login avec un deuxième facteur. En plus du mot de passe, un code basé sur le temps provenant d'une application d'authentification est demandé à chaque connexion - par exemple Microsoft Authenticator, Google Authenticator ou 1Password. L'activation se fait sous „Your Settings” → „Security” : scanner le code QR, saisir le code généré et confirmer avec „Verify & Enable”.

En tant que propriétaire de compte, tu peux également rendre l'AMF obligatoire pour tous les utilisateurs du compte. Cela garantit qu'aucun membre de l'équipe ne peut accéder au tableau de bord sans un deuxième facteur - indépendamment du fait que les utilisateurs individuels ont eux-mêmes activé l'AMF.

Vers la documentation : AMF · Enforce MFA

Protection contre le détournement de session par ré-authentification

Même si une session active est compromise - par exemple par le détournement de cookies - la ré-authentification empêche un attaquant d'effectuer des modifications critiques.

Cette fonctionnalité peut être configurée à trois niveaux :

Actions protégées - Tu décides toi-même des actions pour lesquelles une nouvelle confirmation est nécessaire, par exemple : démarrer et mettre en pause des expériences, modifier des variantes, archiver des expériences, modifier le Page Targeting ou modifier le Audience Targeting.

Créneau horaire - Tu décides de la durée de validité d'une confirmation unique : d'une interrogation à chaque action individuelle à des intervalles librement choisis comme 30 minutes ou plusieurs heures.

Méthode d'authentification - Tu décides si le mot de passe, un deuxième facteur (MFA) ou les deux ensemble sont nécessaires pour la confirmation.

Vers la documentation : Session Hijacking Protection

Protection de connexion Cloudflare Captcha

La zone de connexion de Varify est protégée par Cloudflare Turnstile. À chaque tentative de connexion, un contrôle automatique est effectué en arrière-plan, bloquant les bots et les attaques automatisées (comme les attaques par force brute ou par bourrage de crâne) - sans que les vrais utilisateurs aient à résoudre un captcha classique.

Sessions actives

L'aperçu „Sessions actives” affiche toutes les sessions actuellement actives de ton compte - y compris l'appareil, le navigateur et l'emplacement. Tu peux ainsi vérifier à tout moment si des sessions inconnues ou non autorisées sont actives et mettre fin immédiatement aux sessions suspectes.

Vers la documentation : Sessions actives

Historique de connexion

L'historique des connexions te donne un aperçu complet de toutes les connexions à ton compte : quand quel utilisateur s'est connecté, à partir de quel appareil et de quel endroit, et s'il y a eu des anomalies ou des tentatives d'accès non autorisées. Cette fonctionnalité assure la transparence et permet de détecter rapidement toute activité inhabituelle.

Vers la documentation : Login History

Journal d'activité

Le journal d'activité consigne toutes les modifications apportées à ton compte - une piste d'audit complète. Il est ainsi possible de savoir à tout moment qui a effectué quelle modification et quand.

Les activités suivantes sont suivies : Expériences (création, modification, suppression), modifications de variantes, ciblage d'audience, ciblage de navigateur, ciblage d'appareil, ciblage de géolocalisation, ciblage d'IP, ciblage de JavaScript, ciblage de page de sélecteur CSS, ciblage de stockage local, ciblage de stockage de session, ciblage de page de correspondance URL, ciblage de paramètres de requête URL, ciblage de page, ciblage de segments, gestion d'équipe et invitations.

Pour la documentation : Activity Log

Rôles et autorisations

Varify utilise un modèle d'accès basé sur les rôles, qui limite de manière ciblée l'accès aux fonctions et aux données. Les rôles disponibles et l'existence ou non d'une gestion des permissions dépendent du plan Varify choisi.

Propriétaire de compte - Chaque compte a exactement un propriétaire. Celui-ci a un accès complet à toutes les fonctions, y compris l'abonnement, les méthodes de paiement, la gestion de l'équipe, les clés API et les paramètres de sécurité (forcer la MFA, configurer la ré-authentification). Seul le propriétaire peut modifier ou conclure l'abonnement. Le propriétaire a toujours des droits d'admin et peut être modifié par une demande au support Varify.

Rouleaux de système - À partir du plan Pro, trois rôles standard sont disponibles : Admin, Publisher et Editor. Ils permettent de contrôler de manière granulaire qui peut lancer des expériences, gérer les membres de l'équipe ou modifier les paramètres. Dans le Growth Plan, seuls les rôles de propriétaire de compte et d'éditeur sont disponibles.

Gestion des permissions (Enterprise) - Dans le plan d'entreprise, la gestion des permissions permet en outre de créer des rôles propres avec des autorisations individuelles.

Compte d'agence - Dans le modèle Agency, il existe un niveau d'autorisation supplémentaire. Les membres de l'équipe au niveau de l'agence ont accès à tous les domaines et clients du compte de l'agence. Les membres de l'équipe au niveau du client voient uniquement le tableau de bord de leur client attribué - pas de vue sur les autres clients de l'agence.

Les membres de l'équipe sont ajoutés par invitation e-mail et peuvent être retirés à tout moment. Lorsqu'un collaborateur quitte l'équipe, son accès est immédiatement bloqué.

Vers la documentation : Rôles & gestion des permissions

Vers la documentation : Agency Account

Gestion des clés API

Pour l'utilisation de l'API d'expérience, des clés API peuvent être créées sous Team Settings. La création est réservée au propriétaire du compte. Après la création, une clé client et une clé secrète sont affichées. Le Client Secret n'est visible que peu de temps après sa création et ne peut plus être consulté par la suite - comparable à un token affiché une seule fois.

Vers la documentation : Experiment API