Retour au blog

Bases de la sécurité

Qu'est-ce qui rend un mot de passe sûr en 2026 ?

15 janvier 2026 · 7 min de lecture

Black and silver door knob
Photo by Jason Dent on Unsplash

Les conseils sur les mots de passe ont changé. Les anciennes règles insistaient sur les symboles, les rotations forcées et des exigences artificiellement compliquées. Les attaquants d'aujourd'hui ne se préoccupent pas d'un point d'exclamation supplémentaire. Ils s'intéressent surtout aux secrets prévisibles, réutilisés ou trop courts.

En 2026, un mot de passe sûr repose surtout sur la longueur, l'aléatoire, l'unicité et une bonne hygiène de compte. Voici ce que cela signifie concrètement.

La longueur compte plus que la complexité artificielle

Un mot de passe long offre un espace de recherche bien plus vaste aux attaquants. C'est beaucoup plus important que des règles cosmétiques du type « une majuscule, un chiffre, un symbole ».

Un mot de passe aléatoire de 16 caractères est largement plus solide qu'un mot de passe court avec des substitutions prévisibles comme P@ssw0rd!.

Ce que recommandent les pratiques modernes

Les recommandations actuelles favorisent des secrets longs et utilisables. NIST SP 800-63B-4, publié en 2025, exige au moins 15 caractères pour les mots de passe vérifiés centralement comme facteur unique et indique que les services ne doivent pas imposer de règles de composition comme les symboles ou majuscules obligatoires.

Il existe une nuance importante avec la MFA : NIST permet des mots de passe plus courts lorsqu'ils ne sont utilisés que dans une connexion à plusieurs facteurs, mais ils doivent tout de même faire au moins 8 caractères. C'est un plancher pour les systèmes avec un autre facteur, pas un objectif pour les mots de passe générés par un gestionnaire. Si un gestionnaire peut créer 16, 20 caractères ou davantage, choisissez la valeur plus longue.

C'est un changement important par rapport à l'idée ancienne selon laquelle un mot de passe devient sûr parce qu'il contient plusieurs types de caractères. La longueur, les listes de blocage, la limitation des tentatives et le stockage sûr comptent davantage.

Deviner en ligne ou casser hors ligne

Un mot de passe sûr doit résister à deux situations différentes. Dans une attaque en ligne, l'attaquant essaie de se connecter au service. La limitation du débit, la MFA, la détection de fraude et les verrouillages de compte peuvent le ralentir.

Dans une attaque hors ligne, l'attaquant a volé une base de hachages et peut deviner sans interagir avec le service. C'est beaucoup plus dangereux. La force du mot de passe et la qualité du hachage deviennent alors les principales barrières.

À quoi ressemble un bon mot de passe au quotidien

  • Utiliser un mot de passe unique pour chaque compte.
  • Laisser un gestionnaire de mots de passe créer des mots de passe aléatoires.
  • Utiliser 5 ou 6 mots aléatoires pour les secrets à mémoriser.
  • Activer la MFA sur l'e-mail, la banque et le cloud.
  • Utiliser notre test de fuite de temps en temps pour voir si des mots de passe importants figurent dans des fuites connues.

Ce qu'il faut éviter

  • Les mots du dictionnaire légèrement modifiés
  • Les dates de naissance, noms, animaux et schémas de clavier
  • La réutilisation du même mot de passe sur plusieurs services
  • Les mots de passe courts qui donnent une fausse impression de sécurité

L'hygiène des noms d'utilisateur compte aussi

Le mot de passe n'est qu'une moitié du couple de connexion. Un nom d'utilisateur réutilisé facilite le rapprochement de comptes, le credential stuffing, l'usurpation et le phishing ciblé, surtout s'il contient votre vrai nom, votre année de naissance, votre entreprise ou votre pseudonyme habituel.

Utilisez votre vrai nom lorsque l'identification est utile ou nécessaire, par exemple au travail, dans les services professionnels, la banque ou les démarches publiques. Pour les forums, jeux, newsletters, boutiques en ligne et services sensibles en matière de confidentialité, un identifiant neutre séparé limite le suivi facile entre sites.

Vous pouvez créer un identifiant à forte entropie avec notre générateur de noms d'utilisateur aléatoires lorsque la confidentialité prime, ou choisir un style adjectif-nom plus lisible avec le générateur de noms d'utilisateur composés lorsque le nom doit rester mémorisable.

Ne mettez pas d'information de récupération dans le nom d'utilisateur lui-même. Évitez les années de naissance, noms d'employeur, lieux, fragments de téléphone et le même pseudonyme public que sur les réseaux sociaux. Si le service accepte un alias e-mail, associez-le à l'identifiant neutre pour que les deux parties du login soient moins réutilisables.

Longueurs recommandées

Pour des comptes ordinaires enregistrés dans un gestionnaire, 16 à 20 caractères aléatoires constituent une excellente base. Pour les comptes à forte valeur comme l'e-mail ou la banque, 20 caractères ou plus sont judicieux.

Pour un mot de passe maître ou un secret à mémoriser, 5 à 7 mots aléatoires offrent généralement le meilleur compromis entre confort et sécurité.

Mots de passe générés ou phrases mémorisées

Pour les comptes stockés dans un gestionnaire, utilisez des chaînes aléatoires générées. Vous n'avez pas besoin de les mémoriser, donc elles n'ont pas besoin d'avoir l'air humaines.

Pour les rares secrets à retenir, utilisez une phrase de passe composée de mots choisis aléatoirement. Les mots doivent venir d'un tirage aléatoire, pas d'une phrase, d'une citation, d'une chanson ou d'une histoire personnelle.

Si vous ne voulez pas vous reposer sur l'aléa automatisé du navigateur, vous pouvez tout de même composer une phrase mémorisée de façon totalement transparente : lancez des dés physiques et consultez chaque mot sur une liste imprimée. Vous pouvez aussi utiliser notre générateur Diceware manuel pour saisir vous-même chaque code à cinq chiffres : tout reste local dans le navigateur, mais chaque lancer vient de vous.

Utilisez un gestionnaire de mots de passe

Pour la plupart des personnes, un gestionnaire de mots de passe est le centre pratique de la sécurité des mots de passe. Il permet d'utiliser un mot de passe aléatoire différent pour chaque compte, évite d'inventer des motifs et rend la réutilisation beaucoup plus facile à éliminer.

Si vous vivez déjà dans un écosystème, les gestionnaires intégrés sont souvent le point de départ le plus simple : Apple Passwords ou iCloud Keychain pour les utilisateurs Apple, et Google Password Manager pour Chrome et Android. La simplicité compte, car le gestionnaire que vous utilisez vraiment vaut mieux que l'outil parfait que vous abandonnez.

Si vous avez besoin d'un meilleur partage, de flux multi-plateformes, de fonctions famille ou équipe, ou de plus de contrôle, regardez des gestionnaires dédiés comme Bitwarden, 1Password, Proton Pass, Dashlane, Keeper, ou l'approche locale/open source KeePassXC. Le bon choix dépend de ce que vous privilégiez : confort, partage, auto-hébergement, stockage hors ligne ou administration d'entreprise.

Une prudence s'impose : les gestionnaires sont des logiciels de sécurité à forte valeur, donc ils méritent aussi d'être audités. Dans Zero Knowledge (About) Encryption, Scarlata, Torrisi, Backendal et Kenneth G. Paterson analysent plusieurs gestionnaires cloud sous un modèle de serveur malveillant et trouvent des attaques liées à l'intégrité, aux métadonnées, au partage et aux mécanismes de récupération. Les chercheurs disent explicitement de ne pas arrêter d'utiliser les gestionnaires ; la leçon est de les maintenir à jour, d'activer la MFA ou les passkeys sur le compte du gestionnaire, d'utiliser un mot de passe maître fort et de préférer les fournisseurs transparents face aux audits cryptographiques.

Quand faut-il changer un mot de passe ?

La rotation périodique est largement dépassée. Changer tous les 30, 60 ou 90 jours pousse souvent vers des schémas plus faibles comme Ete2026! puis Automne2026!.

Changez un mot de passe lorsqu'il y a une raison : il a été réutilisé, il apparaît dans une fuite, vous l'avez partagé, vous l'avez saisi sur une page de phishing, un malware a pu le capturer, ou le service signale un incident.

Les mots de passe ne résistent pas au phishing

Un long mot de passe aléatoire reste un mot de passe. Si vous le saisissez sur un faux site convaincant, l'attaquant peut le capturer. C'est pourquoi les comptes importants doivent utiliser la MFA et, si possible, des passkeys ou des clés de sécurité matérielles.

Considérez le mot de passe fort comme une couche. Il doit être unique et difficile à deviner, mais il ne doit pas être la seule protection de l'e-mail, de la banque, du stockage cloud, des panneaux d'administration ou des comptes développeur.

La règle simple en 2026

N'essayez pas d'être plus malin que les attaquants avec des motifs « créatifs ». Utilisez des secrets plus longs, uniques, sans structure devinable, et stockez-les dans un gestionnaire de mots de passe.

La règle la plus simple aujourd'hui est la suivante : générez des mots de passe aléatoires pour les comptes stockés, utilisez des phrases de mots aléatoires pour les rares secrets mémorisés, et remplacez tout ce qui est réutilisé ou fuité.

Générer un mot de passe plus solide

Utilisez notre générateur pour créer un mot de passe long et aléatoire conforme aux bonnes pratiques actuelles.

Générer un mot de passe sûr