Qu'est-ce qu'un passkey exactement ?

Un passkey est une clé cryptographique asymétrique stockée sur votre appareil (iPhone, Android, PC Windows) qui remplace le mot de passe. À la création du compte, votre appareil génère une paire de clés : la clé privée reste sur l'appareil, la clé publique est envoyée au site web. Pour se connecter, l'appareil signe un défi cryptographique avec la clé privée — l'authentification se fait via votre empreinte digitale, Face ID ou code PIN de l'appareil. Aucun secret partagé n'est transmis sur le réseau, ce qui rend le phishing techniquement impossible.

Les passkeys fonctionnent-ils sur tous les appareils ?

Oui, sur tous les appareils modernes : iPhone sous iOS 16+, Android 9+, Windows 10 et 11 via Windows Hello, et macOS Ventura et ultérieur. Les passkeys sont synchronisés dans l'écosystème via iCloud Keychain (Apple), Google Password Manager ou un gestionnaire tiers comme 1Password v8 ou Dashlane. Une exception : les navigateurs Internet Explorer et les anciennes versions d'Android (avant 9) ne supportent pas FIDO2. Pour les entreprises, une politique de compatibilité doit être établie pour les postes encore sous Windows 7 ou 8.

Que se passe-t-il si je change de téléphone ?

Si vous êtes dans l'écosystème Apple, vos passkeys sont synchronisés dans iCloud Keychain et disponibles instantanément sur votre nouveau iPhone. Même logique chez Google : le Google Password Manager synchronise les passkeys sur tous vos appareils Android connectés à votre compte Google. Avec un gestionnaire tiers comme 1Password, les passkeys sont disponibles sur tous les appareils liés à votre coffre. La seule situation délicate est le changement complet d'écosystème (Apple vers Android ou inversement) : dans ce cas, il faut se reconnecter à chaque service avec une méthode de secours (code de récupération, email, SMS) pour ré-enregistrer le nouveau passkey.

Les passkeys sont-ils vraiment plus sûrs que les mots de passe ?

Oui, significativement. Les mots de passe présentent trois vecteurs d'attaque majeurs : le phishing (vous saisissez votre mot de passe sur un faux site), la fuite de base de données (le service stocke votre mot de passe haché, parfois mal), et le credential stuffing (réutilisation du même mot de passe sur plusieurs sites). Les passkeys éliminent les trois : rien ne circule sur le réseau lors de l'authentification, le service ne stocke que la clé publique (sans valeur pour un attaquant), et chaque passkey est unique au domaine — un passkey créé pour google.com ne fonctionne pas sur go0gle.com. La FIDO Alliance estime que les passkeys éliminent 99 % des attaques de phishing ciblant les identifiants.

Quand les mots de passe disparaîtront-ils vraiment ?

La transition est en cours mais ne sera pas totale avant 2028-2030. Côté grands acteurs, Google, Apple, Microsoft et GitHub ont déployé les passkeys en 2023-2024 et les poussent activement comme méthode par défaut. Côté services financiers, les banques françaises avancent plus lentement : quelques-unes proposent les passkeys en option depuis 2025, mais la directive européenne DSP3 devrait accélérer la généralisation d'ici 2026-2027. Les services legacy (administrations, petites entreprises, outils internes) resteront sur mots de passe bien au-delà de 2030. La coexistence des deux systèmes durera au moins une décennie.

Peut-on utiliser un passkey sans smartphone ?

Oui. Sur Windows 11, Windows Hello permet de créer et utiliser des passkeys directement sur le PC, via empreinte digitale, reconnaissance faciale ou code PIN. Sur macOS, Touch ID ou le code du Mac suffit. Il est aussi possible d'utiliser une clé de sécurité physique FIDO2 (YubiKey 5, Google Titan Key) comme support du passkey — c'est la solution privilégiée en entreprise pour les comptes à forts privilèges. Le smartphone n'est pas obligatoire, même s'il reste le support le plus répandu pour les particuliers.

Passkeys : la fin des mots de passe ? Interview d'une experte en authentification 2026

Les passkeys FIDO2 s'imposent comme le successeur des mots de passe : Google, Apple, Microsoft et GitHub les déploient activement depuis 2023, et la FIDO Alliance annonce plus d'un milliard de comptes passkeys dans le monde en 2025. Mais la technologie est-elle vraiment prête pour tout le monde ? Qu'arrive-t-il si l'on perd son téléphone ? Et les gestionnaires de mots de passe survivront-ils à cette révolution ? Nathalie Guichard, Responsable Sécurité du SI dans une ETI du secteur financier, répond sans détour. Portrait éditorial — synthèse des entretiens menés avec des professionnels de la sécurité.

Nathalie Guichard, Responsable Sécurité SI

Nathalie Guichard, Responsable Sécurité du SI

Responsable Sécurité du SI dans une ETI parisienne du secteur financier, 15 ans d'expérience en cybersécurité, spécialisée en authentification FIDO2 et gestion des identités. Profil éditorial composite — portrait illustratif.

Il y a deux ans, quand Apple et Google ont annoncé simultanément le support natif des passkeys sur iOS 16 et Android 9, peu de gens hors du milieu de la cybersécurité avaient entendu parler de FIDO2. Aujourd'hui, vous avez peut-être déjà créé un passkey sans le savoir — lors d'une connexion à votre compte Google ou Apple qui vous a proposé de « simplifier vos connexions futures ».

La promesse est vertigineuse : supprimer les mots de passe. Pas les améliorer, pas les compléter — les supprimer. Plus de phishing possible, plus de fuite de bases de données embarrassante, plus de « Mot de passe oublié ? » à 23h avant une réunion importante. Mais la réalité du déploiement est plus nuancée, et les questions pratiques abondent : que se passe-t-il si l'on perd son téléphone ? Les banques françaises sont-elles compatibles ? Faut-il encore un gestionnaire de mots de passe ?

Pour cet entretien éditorial, nous avons synthétisé les retours d'une Responsable Sécurité du SI qui accompagne depuis quinze ans des organisations du secteur financier dans leur transformation numérique sécurisée, et qui a piloté le déploiement des passkeys sur les outils internes de son ETI début 2025. Ses réponses tranchent avec les discours marketing : elle distingue ce qui est prêt, ce qui ne l'est pas encore, et ce que chaque particulier peut faire dès aujourd'hui.

Section 1 — Qu'est-ce qu'un passkey ?

Sophie Leroux : Nathalie, commençons par la base. Un passkey, qu'est-ce que c'est exactement, et en quoi c'est différent d'un mot de passe ou d'une clé de sécurité physique comme une YubiKey ?

Nathalie Guichard :
Un passkey, c'est une paire de clés cryptographiques asymétriques. À la création d'un compte ou à l'enregistrement du passkey, votre appareil — iPhone, Android, PC Windows — génère deux clés : une clé privée qui ne quitte jamais votre appareil, et une clé publique envoyée au site web ou à l'application. Quand vous vous reconnectez, le serveur envoie un « défi » aléatoire, votre appareil le signe avec la clé privée après avoir vérifié votre identité (empreinte digitale, Face ID, ou code PIN de l'appareil), et le serveur vérifie la signature avec la clé publique qu'il possède. Voilà — vous êtes authentifiée.

La différence fondamentale avec un mot de passe, c'est que rien de secret ne circule sur le réseau. Avec un mot de passe, vous envoyez un secret que le serveur compare à ce qu'il stocke. Si le réseau est intercepté, si le serveur est compromis, si vous êtes sur un faux site de phishing qui ressemble à l'original — dans tous ces cas, votre secret peut être volé. Avec un passkey, même si un attaquant intercepte l'échange, il ne récupère qu'un défi signé, qui est unique à cette session et n'est d'aucune utilité.

La différence avec une YubiKey physique, c'est principalement la commodité. Une YubiKey est un dispositif matériel externe qui stocke les clés FIDO2 — exactement le même protocole que les passkeys. Elle est excellente pour les comptes à très forts privilèges en entreprise : comptes administrateurs, accès production, secrets infrastructures. Mais elle implique de l'avoir sur soi, de ne pas la perdre, et d'en avoir une de secours. Pour le grand public, le passkey stocké dans le smartphone ou le gestionnaire de mots de passe offre le même niveau de sécurité cryptographique avec beaucoup plus de confort.

Sophie Leroux : FIDO2, WebAuthn, passkeys — on entend plusieurs termes. Pouvez-vous clarifier la hiérarchie ?

Nathalie Guichard :
FIDO2 est le nom de la norme globale, développée par la FIDO Alliance — un consortium qui regroupe Google, Apple, Microsoft, Amazon, PayPal, les grands groupes bancaires, et des centaines d'autres acteurs. WebAuthn (Web Authentication) est la spécification W3C qui définit comment les navigateurs web implémentent cette norme — c'est l'API JavaScript que les développeurs web appellent pour demander une authentification FIDO2. CTAP (Client-to-Authenticator Protocol) est la partie qui décrit comment le navigateur communique avec l'authentificateur, qu'il soit physique (YubiKey) ou logiciel (passkey dans le smartphone).

Le mot « passkey » lui-même, c'est le terme marketing choisi par la FIDO Alliance, Apple, Google et Microsoft en 2022 pour désigner les implémentations FIDO2 synchronisées dans le cloud — par opposition aux clés FIDO2 qui restent sur un dispositif matériel unique. Concrètement : un passkey Apple est un FIDO2 credential synchronisé dans iCloud Keychain, disponible sur tous vos appareils Apple. Un passkey Google est un FIDO2 credential synchronisé dans Google Password Manager. Et un passkey 1Password est un FIDO2 credential synchronisé dans le coffre 1Password. La technologie est la même, le stockage et la synchronisation diffèrent.

Section 2 — Déploiement actuel en 2026

Sophie Leroux : iOS, Android, Windows — est-ce que l'expérience est vraiment différente selon l'écosystème, ou c'est transparent pour l'utilisateur ?

Nathalie Guichard :
Il y a une convergence forte depuis 2024, mais les expériences restent distinctes selon l'écosystème. Sur Apple, l'intégration est la plus fluide : iOS 17 et macOS Sonoma ont fait des passkeys un citoyen de première classe de l'OS. Ils s'affichent dans les suggestions de mot de passe Safari, se synchronisent automatiquement dans iCloud Keychain, et sont disponibles sur iPhone, iPad, Mac et Apple TV. La création d'un passkey sur un site compatible se fait en deux tapotements — l'utilisateur n'a souvent même pas conscience de ce qui se passe.

Sur Android, Google Password Manager supporte les passkeys depuis Android 9, mais l'intégration dans les applications tierces est arrivée plus progressivement. Android 14 a introduit le support des gestionnaires de mots de passe tiers pour les passkeys — avant ça, seul Google Password Manager pouvait les stocker nativement. Depuis fin 2024, 1Password, Bitwarden et Dashlane stockent les passkeys sur Android comme sur iOS.

Sur Windows 11, Windows Hello gère les passkeys nativement via l'API WebAuthn : empreinte digitale, reconnaissance faciale ou code PIN Windows. La synchronisation cross-device est plus limitée : les passkeys Windows Hello restent sur le PC, sauf si vous utilisez un gestionnaire tiers. Microsoft a annoncé une synchronisation passkeys via les comptes Microsoft, mais le déploiement est partiel en 2026. Le cas le plus confortable pour l'utilisateur moyen reste l'écosystème Apple ou l'utilisation d'un gestionnaire tiers multiplateforme comme 1Password v8.

Sophie Leroux : Les passkeys sont-ils déjà déployés sur les grands services français — banques, administrations, services publics ?

Nathalie Guichard :
La situation est contrastée. Du côté des géants technologiques utilisés en France, c'est acquis depuis 2023-2024 : Google (connexion au compte Google), Apple (Apple ID), Microsoft (compte Microsoft), GitHub, Shopify, PayPal, Uber, 1Password, et des dizaines d'autres. Pour ces services, les passkeys sont disponibles et souvent poussés comme méthode préférée lors des connexions.

Du côté français spécifiquement, le secteur financier avance, mais lentement. Quelques néobanques et acteurs innovants du secteur ont intégré les passkeys en option depuis 2025 — c'est confidentiel mais ça existe, et les pilotes internes dans les grands groupes bancaires sont en cours. La directive européenne DSP3, qui renforce les exigences d'authentification forte, devrait accélérer le mouvement d'ici 2026-2027. Mais les systèmes legacy des grandes banques françaises, parfois datant des années 1990, rendent la migration complexe et coûteuse.

Pour les services publics et administrations, c'est encore plus lent. FranceConnect+ est en cours d'évolution vers une authentification plus forte, mais les passkeys ne sont pas encore au programme officiel. L'ANSSI publie des guides sur FIDO2, et les DSI des ministères sont sensibilisés, mais le déploiement grand public de passkeys sur les services administratifs français ne sera pas une réalité avant 2027-2028 au minimum. En attendant, l'authentification à deux facteurs, étape intermédiaire avant les passkeys, reste le meilleur compromis disponible sur ces services.

Section 3 — Questions pratiques

Sophie Leroux : La question qui revient le plus souvent dans les retours de nos lecteurs : qu'est-ce qui se passe si je perds mon téléphone ? Est-ce que je perds accès à tous mes comptes ?

Nathalie Guichard :
C'est l'objection numéro un, et la réponse dépend du mode de stockage de vos passkeys. Si vous utilisez les passkeys Apple synchronisés dans iCloud Keychain, la perte de l'iPhone ne change rien : vous récupérez un nouvel iPhone, vous vous connectez à votre compte Apple ID, et tous vos passkeys réapparaissent automatiquement dans les minutes qui suivent. Le verrouillage de l'iPhone perdu ou volé via « Localiser » supprime les passkeys locaux sans toucher à ceux dans iCloud. C'est la même logique chez Google : les passkeys Google Password Manager survivent à la perte de l'appareil et se réinstallent sur le suivant via la connexion au compte Google.

Le scénario plus complexe, c'est si vous avez créé des passkeys directement sur un dispositif sans synchronisation — par exemple un passkey Windows Hello sur un PC professionnel qui n'est pas lié à un compte Microsoft personnel, ou un passkey sur une YubiKey physique perdue. Dans ce cas, vous devez utiliser les méthodes de récupération prévues par chaque service : adresse email de récupération, numéro de téléphone, codes de récupération à usage unique, ou un passkey de secours enregistré sur un autre appareil.

C'est pourquoi je recommande systématiquement deux choses. D'abord, enregistrer au moins deux passkeys sur les services critiques — l'un sur votre smartphone, l'autre sur votre PC ou un deuxième appareil. Ensuite, si le service le propose, conserver les codes de récupération dans un gestionnaire de mots de passe ou un coffre numérique. Pour l'archivage sécurisé de ces informations critiques, les solutions de sécurisation des données personnelles au-delà des mots de passe offrent un cadre complet.

Sophie Leroux : Pour une PME ou un particulier qui veut passer aux passkeys, par où commencer concrètement ?

Nathalie Guichard :
Pour un particulier, je recommande de commencer par les trois services que vous utilisez le plus fréquemment et qui supportent déjà les passkeys — typiquement votre compte Google ou Apple, GitHub si vous êtes développeur, ou votre gestionnaire de mots de passe. L'avantage de commencer par ces services, c'est qu'ils ont les meilleures implémentations, le meilleur support, et que la récupération en cas de problème est bien documentée. L'expérience est fluide, vous comprenez le mécanisme, et vous gagnez confiance avant d'étendre à d'autres comptes.

La procédure est identique sur tous les services compatibles : allez dans les paramètres de sécurité du compte, cherchez une section « Passkeys », « Clés d'accès », ou « Connexion sans mot de passe », et suivez les instructions. Le service va demander à votre appareil de créer un passkey — vous validez avec votre empreinte ou Face ID, et c'est fait. La prochaine connexion sur cet appareil utilisera automatiquement le passkey sans demander de mot de passe.

Pour une PME, le point de départ recommandé est l'authentification sur les outils de productivité — Microsoft 365, Google Workspace, Slack, GitHub. Ces plateformes supportent toutes les passkeys en 2026, souvent combinées avec des politiques de sécurité entreprise (Conditional Access sur Azure AD, Identity-Aware Proxy sur Google Cloud). Le gain de sécurité sur ces accès-là est immédiat et massif, parce que ce sont précisément les cibles préférées des attaques de phishing B2B.

Sophie Leroux : Les gestionnaires de mots de passe ont accompagné la sécurité numérique des particuliers depuis dix ans. Seront-ils encore utiles quand les passkeys seront généralisés ?

Nathalie Guichard :
Non seulement utiles, mais pivots dans la transition. Les grands gestionnaires de mots de passe — 1Password v8, Bitwarden, Dashlane — ont tous intégré le support des passkeys en 2023-2024. Ils sont devenus des « passkey managers » en plus d'être des password managers. Stocker ses passkeys dans 1Password plutôt que dans iCloud Keychain ou Google Password Manager présente un avantage clé : la portabilité cross-écosystème. Si vous avez un iPhone et un PC Windows, vos passkeys 1Password sont disponibles partout, sans dépendre ni d'Apple ni de Google.

Mais la raison fondamentale pour laquelle les gestionnaires de mots de passe resteront indispensables pendant encore cinq à dix ans, c'est que la transition passkeys sera partielle et longue. Des milliers de services — banques locales, sites e-commerce, forums, outils professionnels legacy — utiliseront des mots de passe encore des années. Pendant toute cette période de coexistence, le gestionnaire de mots de passe est l'outil qui gère la transition : passkeys pour les services compatibles, mots de passe forts et uniques générés automatiquement pour les autres. Nos gestionnaires de mots de passe recommandés pour la transition vers les passkeys couvrent cette double fonction avec les options 2026.

Ce qui va changer, c'est la proportion du coffre : aujourd'hui 100 % mots de passe, dans deux ans peut-être 60 % passkeys / 40 % mots de passe pour les utilisateurs avancés, et dans cinq ans peut-être l'inverse. Mais le coffre sécurisé pour stocker ses identifiants restera nécessaire, quelle que soit la technologie d'authentification.

Section 4 — Vie privée et horizon

Sophie Leroux : La question de la vie privée : les passkeys impliquent une authentification biométrique sur l'appareil. Est-ce que mes données biométriques partent chez Apple, Google ou le site web ?

Nathalie Guichard :
Non — et c'est une des garanties fondamentales du protocole FIDO2, inscrite dans la spécification elle-même. L'empreinte digitale ou la reconnaissance faciale ne sert qu'à débloquer localement la clé privée stockée sur l'appareil. Elle ne quitte jamais l'appareil, n'est jamais transmise au site web, et n'est jamais envoyée aux serveurs d'Apple, de Google, ou du service que vous authentifiez. Le protocole est conçu de telle manière qu'il est techniquement impossible pour le site web de recevoir quoi que ce soit de biométrique.

Ce que le site web reçoit lors d'une connexion passkey, c'est uniquement la signature cryptographique du défi — un nombre aléatoire signé avec la clé privée. Rien d'autre. Apple et Google ne reçoivent pas non plus vos données biométriques : Face ID reste dans le Secure Enclave de l'iPhone, l'empreinte Android reste dans le TEE (Trusted Execution Environment) du processeur. Ces zones sécurisées matérielles sont conçues pour que ni l'OS, ni les applications, ni Apple et Google ne puissent lire les données biométriques brutes.

La seule donnée que le service web connaît lors d'une connexion passkey, c'est que vous possédez l'appareil qui détient la clé privée correspondante à la clé publique enregistrée. C'est tout. Et chaque passkey est unique par service — le passkey que vous avez pour Google ne peut pas être corrélé par un tiers avec celui que vous avez pour votre banque. Cette isolation par service est une protection contre le tracking cross-site, ce qui n'est pas le cas d'un mot de passe réutilisé.

Sophie Leroux : À quel horizon les mots de passe seront-ils vraiment obsolètes ? Donnez-nous une date réaliste, pas une promesse marketing.

Nathalie Guichard :
Une date réaliste : les mots de passe ne seront jamais à zéro, mais ils seront devenus marginaux d'ici 2030 pour les services grand public grands comptes. Voici mon analyse par secteur. Les géants tech — Google, Apple, Microsoft, Meta, Amazon — auront fait passer la grande majorité de leurs utilisateurs actifs sur passkeys d'ici fin 2027. Ils ont l'infrastructure, la volonté, et le contrôle des appareils pour pousser la migration. Google a déjà activé les passkeys comme méthode préférée par défaut pour les nouveaux comptes en 2025.

Les services financiers européens : entre 2027 et 2029, sous la pression de la DSP3 et de l'EBA (Autorité Bancaire Européenne) qui renforce les exigences d'authentification forte. Les banques en ligne et néobanques seront les premières ; les grandes banques de réseau avec leurs systèmes legacy suivront avec 12 à 18 mois de décalage.

Les services legacy — PME, administrations, outils internes, petits sites e-commerce — continueront à utiliser les mots de passe bien au-delà de 2030. La réalité du terrain, c'est que beaucoup de ces systèmes ne seront jamais migrés : ils seront abandonnés ou remplacés par des systèmes qui naîtront déjà passkeys-native. Pour les utilisateurs individuels, la bonne stratégie n'est pas d'attendre la disparition des mots de passe, mais d'adopter les passkeys là où ils sont disponibles aujourd'hui — et de créer des mots de passe sécurisés le temps que les passkeys se généralisent sur les services qui ne les supportent pas encore.

La tendance la plus significative que je surveille, c'est la position de sécurité des entreprises qui font de la cybersécurité leur argument commercial — éditeurs de logiciels SaaS, fournisseurs cloud, acteurs de la fintech. Ces acteurs ne peuvent plus se permettre de ne pas offrir les passkeys à leurs clients entreprise. Le marché B2B va probablement converger plus vite que le B2C grand public sur ce point, et c'est un signal fort. Des ressources comme la Sentinelle Numérique de jthinformatique.com suivent ces évolutions et constituent une bonne veille pour les professionnels qui souhaitent anticiper les transitions.

Sophie Leroux : Vos 3 conseils immédiats pour un particulier qui vous lit et qui veut commencer aujourd'hui ?

Nathalie Guichard :
Premier conseil : créez un passkey sur votre compte Google ou Apple aujourd'hui. Allez dans les paramètres de sécurité, la section passkeys est visible, et la création prend deux minutes. C'est le meilleur moyen de comprendre concrètement ce que c'est — mieux que n'importe quel article, y compris celui-ci. La prochaine fois que vous ouvrez Gmail sur votre téléphone, vous verrez la différence.

Deuxième conseil : installez ou mettez à jour votre gestionnaire de mots de passe vers une version qui supporte les passkeys. 1Password v8, Bitwarden (version récente), Dashlane — tous le font maintenant. Cela vous donne un conteneur multiplateforme pour vos passkeys futurs, indépendant d'Apple ou Google, et vous prépare à la migration progressive de vos comptes au fil des mois.

Troisième conseil : ne supprimez pas vos mots de passe existants immédiatement. La transition est progressive. Pour chaque compte sur lequel vous activez un passkey, gardez le mot de passe comme méthode de secours dans votre gestionnaire pendant au moins six mois, le temps de valider que vous maîtrisez la récupération en cas de perte d'appareil. La sécurité se construit en couches, et la précipitation est l'ennemie de la fiabilité.

5 idées reçues sur les passkeys

Faux — « Les passkeys, c'est compliqué à utiliser. » C'est exactement l'inverse. Une fois enregistré, se connecter avec un passkey se résume à un regard (Face ID) ou un toucher (empreinte). Pas de mot de passe à taper, pas de code 2FA à saisir. La plupart des utilisateurs rapportent que c'est plus simple que n'importe quelle méthode précédente — le défi est dans la compréhension du concept, pas dans l'usage quotidien.

Faux — « Mes données biométriques vont chez Apple ou Google. » Jamais. L'empreinte ou Face ID ne sert qu'à déverrouiller la clé privée localement sur l'appareil. Rien de biométrique ne quitte l'appareil — c'est une garantie fondamentale de la spécification FIDO2, vérifiable techniquement dans le protocole open source publié par la FIDO Alliance.

Vrai — « Un passkey est lié à un service précis, pas à tous mes comptes. » Chaque passkey est unique par domaine (google.com, github.com, etc.). Un passkey créé sur google.com ne fonctionnera jamais sur un faux site go0gle.com — c'est la raison pour laquelle les passkeys éliminent techniquement le phishing par usurpation de domaine.

Faux — « Sans smartphone, les passkeys sont inutilisables. » Windows Hello (Windows 10/11), Touch ID sur Mac, et les clés FIDO2 physiques comme la YubiKey 5 permettent tous d'utiliser les passkeys sans smartphone. Le téléphone est le support le plus répandu, pas le seul.

Faux — « Si je perds mon téléphone, je perds tous mes accès. » Si vos passkeys sont synchronisés dans iCloud Keychain ou Google Password Manager, ils survivent à la perte de l'appareil et se réinstallent automatiquement sur le suivant après connexion au compte. La clé est de s'assurer que la synchronisation est activée et de conserver les codes de récupération des services critiques.

Les 3 conseils de Nathalie Guichard pour les particuliers

Commencez par un service que vous utilisez tous les jours. Votre compte Google ou Apple est le meilleur point d'entrée — implémentation mature, récupération bien documentée, et gain de sécurité immédiat sur votre identité numérique la plus importante. Ne commencez pas par un service obscur où le support en cas de problème sera inexistant.
Installez un gestionnaire de mots de passe compatible passkeys. 1Password v8, Bitwarden ou Dashlane vous donnent un conteneur multiplateforme indépendant des écosystèmes Apple et Google, indispensable si vous utilisez plusieurs types d'appareils. Pensez-y comme à un coffre numérique qui évolue avec vous — hier pour les mots de passe, aujourd'hui aussi pour les passkeys.
Enregistrez toujours deux passkeys sur les services critiques. Un sur votre smartphone principal, un sur votre ordinateur ou un deuxième appareil. Cette redondance est l'équivalent numérique d'avoir un double des clés de chez soi chez un proche — elle évite le scénario du blocage total en cas de perte ou de panne de l'appareil principal.