Passkeys (WebAuthn)

Pourquoi

Un passkey est une paire publique-privée liée à un appareil. Phishing-resistant : on ne peut pas le « remettre » via un lien de phishing.

Enregistrement

/app/security → Passkeys → Register. Le navigateur appelle Touch ID / Face ID / Windows Hello / YubiKey. Ensuite, le passkey est stocké dans le keychain de l'appareil et dans le backend (la clé publique uniquement).

Login

Sur /login vous cliquez « Se connecter avec un passkey » — le navigateur affiche les usable credentials.

Anti-énumération

Pour un email inconnu, Unimoni renvoie quand même un discoverable challenge — l'UX navigateur paraît identique pour les emails existants et inexistants.