Zitadel passkeys et MFA : tutoriel sécurité 2026

Les passkeys (WebAuthn) sont la meilleure méthode d’authentification 2026 : pas de mot de passe à mémoriser, immunisé phishing, support natif iOS/Android/macOS/Windows. Zitadel les supporte nativement. Voici le tutoriel.

Voir notre guide Zitadel.

Pourquoi passkeys

• Phishing-proof : ne fonctionne que sur le domaine légitime
• Pas de mot de passe : utilisateur authentifie via Touch ID, Face ID, Windows Hello, security key
• Sync iCloud / Google Password Manager : pratique sur tous les devices
• Standard FIDO2 : universel

Activer passkeys dans Zitadel

1. Console Zitadel → Login Behavior → Login Settings
2. Force MFA : Optional ou Force passkeys
3. Allowed second factors : passkey, U2F, OTP
4. Multi-factor login : Allow passkey-only login
5. Save

Enregistrer un passkey utilisateur

1. Login utilisateur → Profile → Multi-Factor Authentication
2. Add Passkey
3. Browser invite à utiliser Touch ID / Windows Hello / clé physique
4. Le passkey est enregistré, prêt à être utilisé en login futur

MFA TOTP en backup

Toujours laisser TOTP comme backup au cas où l’utilisateur perd son device passkey. Aegis, Authy, Bitwarden Authenticator. Codes de récupération générés à l’enregistrement TOTP.

Force MFA pour rôles sensibles

Settings → Security Policy → Force MFA pour : Admins, Owners, et toute role à privilège. Reste optionnel pour utilisateurs basiques selon UX.

SMS OTP attention

SMS OTP est faible (SIM swapping possible). À éviter pour comptes sensibles. Si nécessaire (utilisateurs sans smartphone moderne), au moins coupler avec rate limiting.

Pour aller plus loin

• Guide Zitadel
• Flux OIDC