L’authentification sans secret partagé
Passkeys : vont-elles remplacer les mots de passe ?
Elles suppriment déjà le mot de passe sur certains services, mais la transition et la récupération demandent encore de la prudence.
Réponse immédiate : les passkeys remplaceront probablement de nombreux mots de passe, mais pas tous immédiatement. Elles offrent une connexion plus résistante au phishing grâce à une paire de clés cryptographiques liée au domaine. Tant que les services, appareils et procédures de récupération ne les prennent pas tous en charge, mots de passe et passkeys vont coexister.

Comment fonctionne une passkey ?
Lors de l’inscription, l’authentificateur crée une paire de clés. Le service reçoit la clé publique ; la clé privée reste protégée sur votre appareil, une clé physique ou un système de synchronisation. À la connexion, le service envoie un défi. Votre authentificateur le signe après votre consentement, souvent confirmé par le code, l’empreinte ou le visage de l’appareil.
Zoé ouvre une imitation de agenda-exemple.fr sur agenda-exemp1e.fr. Sa passkey du premier domaine n’est pas proposée au second : la preuve est liée à l’identité du site, contrairement à un mot de passe que l’on peut recopier partout.
Ce que les passkeys améliorent
- Aucun mot de passe partagé à voler dans un formulaire ou à réutiliser.
- Une clé différente est créée pour chaque service.
- La liaison au domaine résiste aux faux sites courants.
- La cryptographie produit des identifiants robustes sans effort de mémorisation.
- La validation locale peut être plus rapide qu’un mot de passe suivi d’un code.
Pourquoi les mots de passe ne disparaissent-ils pas encore ?
Compatibilité
Tous les services et anciens appareils n’acceptent pas WebAuthn.
Écosystème
La synchronisation entre fournisseurs reste un choix à comprendre.
Récupération
Une procédure faible peut devenir le nouveau point d’entrée.
Transition
Certains comptes conservent un mot de passe de secours actif.
Si un mot de passe reste associé au compte, sécurisez-le toujours avec un gestionnaire. Ajouter une passkey sans retirer un ancien secret faible ne supprime pas cette voie d’accès.
Comment les adopter sans se bloquer
- Commencez par les comptes importants proposant clairement les passkeys.
- Ajoutez une seconde passkey sur un autre appareil ou une clé de sécurité si le service l’autorise.
- Vérifiez la synchronisation et la procédure de récupération avant de supprimer le mot de passe.
- Protégez le compte qui synchronise vos passkeys avec une authentification forte.
- Conservez les codes de récupération dans un lieu indépendant.
- Continuez à vérifier les messages de phishing : la passkey protège la connexion, pas toutes les manipulations.
Guides associés
Sources primaires consultées
Un service utilise encore un mot de passe ?
Créez-en un unique en attendant sa prise en charge des passkeys.