Migrer ses codes 2FA vers « Mots de passe » (Apple) simplifie la vie… à condition d’être méthodique. L’objectif : rapatrier proprement vos jetons, vérifier qu’ils génèrent bien les codes attendus, partager le minimum nécessaire avec les proches qui en ont réellement besoin, puis mettre en place une sauvegarde de secours au cas où vous perdriez un appareil. Avec une approche par lots (comptes critiques d’abord, puis le reste) et quelques garde-fous — test, journal de migration, trousse de récupération — vous gagnerez en vitesse au quotidien sans affaiblir votre sécurité.

Importer proprement : par lots, en commençant par le critique

Commencez par lister vos comptes « vitaux » (banque, e-mail principal, Apple ID, outils pro). Depuis votre ancien gestionnaire 2FA, exportez les jetons sous forme de QR « otpauth://… » (quand c’est proposé) et scannez-les dans Réglages > Mots de passe > [site] > Configurer le code de validation. À défaut de QR, copiez la clé secrète (base32) fournie par le service et collez-la dans la fiche. Travaillez par lots de 5 à 10 comptes pour rester concentré, et notez ce que vous avez migré (table simple : service, ancien gestionnaire, statut « vérifié »). Une fois le lot importé, déconnectez-vous et reconnectez-vous à chaque service pour valider que « Mots de passe » génère bien le code accepté. Ne supprimez pas encore l’ancien jeton : gardez un recouvrement le temps de finir toute la migration.

Vérifier, étiqueter et éviter les doublons

Dans « Mots de passe », ouvrez chaque fiche et donnez-lui un nom clair (domaine exact + libellé compte, ex. example.com — perso / — pro). Ajoutez une note si le service exige un code de secours à usage unique ou si un numéro de téléphone reste configuré comme 2e facteur. Supprimez les entrées en double et mettez à jour les URL pour éviter les propositions hors domaine. Quand un service propose plusieurs facteurs, privilégiez TOTP dans Mots de passe plutôt que SMS. Terminez le lot en révoquant le jeton dans l’ancien gestionnaire (ou en le désactivant) uniquement après test concluant. Ainsi, vous évitez les désynchronisations et la génération concurrente de codes.

Partage familial minimal : le juste accès, rien de plus

Le partage est utile pour les accès communs (compte foyer, fournisseur d’énergie, streaming). Partagez la fiche complète (identifiants + TOTP) uniquement si tous les co-utilisateurs sont de confiance et protègent bien leurs appareils (Face/Touch ID, code robuste). Sinon, créez deux entrées :

• une fiche partagée avec identifiant + mot de passe (sans TOTP),
• une fiche privée contenant le TOTP que détient l’administrateur.
  Dans ce modèle, vous validez ponctuellement un code quand c’est nécessaire, ce qui limite la surface d’exposition. Révoquez immédiatement l’accès partagé si un appareil familial est perdu ou non mis à jour. Enfin, pas de captures d’écran de QR/jetons dans des albums partagés : c’est l’une des fuites les plus fréquentes.

Sauvegarde et plan de panne : codes de secours, export chiffré, trousse hors ligne

Pour chaque service critique, générez et stockez les codes de secours hors ligne (impression papier ou fichier texte chiffré). Rangez-les séparément de vos appareils (coffre, enveloppe scellée). Activez Trousseau iCloud pour synchroniser vos jetons entre iPhone, iPad et Mac ; la synchronisation est chiffrée de bout en bout, mais prévoyez une porte de secours : un proche de confiance peut conserver une enveloppe contenant uniquement vos codes de secours (pas les mots de passe). Évitez tout export non chiffré : si vous devez archiver, utilisez un fichier protégé par mot de passe long et conservez-le dans un coffre numérique fiable. Testez votre plan : simulez la perte d’un appareil, reconnectez-vous avec les codes de secours, vérifiez que « Mots de passe » reprend le relais.

Routine de santé : audit trimestriel et hygiène des facteurs

Tous les trois mois, faites un mini-audit :

• passez en revue 10 comptes clés, testez une connexion complète (ID + TOTP) ;
• retirez les numéros SMS comme 2FA là où TOTP est en place ;
• mettez à jour les domaines, supprimez les fiches obsolètes ;
• vérifiez que tous les appareils reçoivent bien les codes (iPhone, iPad, Mac).
  Profitez-en pour renouveler 2–3 mots de passe critiques avec des phrases longues (gestionnaire intégré) et pour imprimer de nouveaux codes de secours si le service les invalide à la régénération du TOTP.