Les passkeys (WebAuthn) sont la meilleure méthode d’authentification 2026 : pas de mot de passe à mémoriser, immunisé phishing, support natif iOS/Android/macOS/Windows. Zitadel les supporte nativement. Voici le tutoriel.
Voir notre guide Zitadel.
Pourquoi passkeys
- Phishing-proof : ne fonctionne que sur le domaine légitime
- Pas de mot de passe : utilisateur authentifie via Touch ID, Face ID, Windows Hello, security key
- Sync iCloud / Google Password Manager : pratique sur tous les devices
- Standard FIDO2 : universel
Activer passkeys dans Zitadel
- Console Zitadel → Login Behavior → Login Settings
- Force MFA : Optional ou Force passkeys
- Allowed second factors : passkey, U2F, OTP
- Multi-factor login : Allow passkey-only login
- Save
Enregistrer un passkey utilisateur
- Login utilisateur → Profile → Multi-Factor Authentication
- Add Passkey
- Browser invite à utiliser Touch ID / Windows Hello / clé physique
- Le passkey est enregistré, prêt à être utilisé en login futur
MFA TOTP en backup
Toujours laisser TOTP comme backup au cas où l’utilisateur perd son device passkey. Aegis, Authy, Bitwarden Authenticator. Codes de récupération générés à l’enregistrement TOTP.
Force MFA pour rôles sensibles
Settings → Security Policy → Force MFA pour : Admins, Owners, et toute role à privilège. Reste optionnel pour utilisateurs basiques selon UX.
SMS OTP attention
SMS OTP est faible (SIM swapping possible). À éviter pour comptes sensibles. Si nécessaire (utilisateurs sans smartphone moderne), au moins coupler avec rate limiting.