Votre mot de passe est probablement plus faible que vous ne le pensez. Pas parce qu’il est court. Parce qu’une bonne partie des conseils qui circulent depuis quinze ans sont aujourd’hui dépassés, voire contre-productifs. Le fameux remplacement du « a » par « @ » et du « e » par « 3 » ? Les pirates connaissent ces astuces mieux que vous. La complexité avec des symboles partout ? Elle compte moins que vous ne croyez.
Ce guide remet les choses à plat avec les recommandations actuelles de l’ANSSI et de la CNIL. Vous y trouverez ce qui rend vraiment un mot de passe solide en 2026, comment le mémoriser sans vous arracher les cheveux, et surtout les deux outils qui rendent toute cette gymnastique presque inutile.
Un bon mot de passe en 2026 repose sur trois piliers. Premièrement, la longueur prime sur la complexité. Visez une phrase de passe de 4 ou 5 mots plutôt qu’une suite de symboles. Deuxièmement, un mot de passe unique par compte, sans aucune exception. Troisièmement, activez la double authentification partout où c’est possible. Et si vous voulez tout simplifier, un gestionnaire de mots de passe fait le travail à votre place.
Pourquoi vos anciens réflexes ne marchent plus
Pendant des années, on a martelé une règle : un mot de passe doit contenir une majuscule, un chiffre, un symbole, et au moins huit caractères. Le résultat de cette politique a été désastreux. Les gens ont créé des mots de passe impossibles à retenir, qu’ils notaient sur des post-it ou réutilisaient partout.
L’ANSSI a changé de doctrine. L’agence recommande au minimum 12 caractères pour un mot de passe classique, et préconise les phrases de passe de 4 à 5 mots pour allier robustesse et mémorisation. Le critère qui compte vraiment, c’est l’entropie. C’est la mesure de l’imprévisibilité de votre mot de passe.
L'entropie d'un mot de passe
L’entropie mesure le nombre de combinaisons qu’un attaquant devrait tester pour deviner votre mot de passe. Plus elle est élevée, plus le mot de passe résiste aux attaques par force brute. Un point clé souvent ignoré : la longueur augmente l’entropie bien plus efficacement que l’ajout de symboles. Une phrase longue et simple bat un mot court bardé de caractères spéciaux.
Pour le dire avec un exemple parlant : la chaîne VOILA_LA_TORTUE_DU17 est plus robuste que M@r1e75! parce que sa longueur la rend exponentiellement plus longue à craquer. La première est pourtant bien plus facile à retenir. C’est tout le paradoxe que les anciennes règles avaient raté.
La phrase de passe, la meilleure idée pour les humains
L’idée vient en partie d’Edward Snowden, l’ancien consultant de la NSA. Plutôt qu’un mot de passe, créez une phrase de passe. Une suite de mots qui forme une phrase mémorable pour vous, et incompréhensible pour les autres.
L’avantage est double. La phrase est longue, donc son entropie est élevée. Et elle est mémorisable, donc vous n’avez pas besoin de la noter. Voici comment en construire une solide.
Choisissez quatre ou cinq mots sans rapport logique
Évitez les phrases qui ont du sens grammatical complet, trop prévisibles. Préférez une association absurde. Par exemple : girafe, cactus, vinyle, tempête. L’absurdité est votre amie, car elle est imprévisible.
Assemblez-les avec des séparateurs
Reliez vos mots avec des tirets, des points ou des chiffres. Cela donne quelque chose comme : girafe-cactus-7-vinyle-tempête. Vous avez déjà dépassé les 12 caractères recommandés, et de loin.
Ajoutez une touche personnelle non devinable
Glissez un élément qui n’a rien à voir avec votre vie publique. Ni votre date de naissance, ni le nom de votre chien, ni votre ville. Quelque chose que personne ne pourrait relier à vous.
Vérifiez sa solidité
Le générateur de la CNIL permet de construire une phrase de passe et d’en évaluer la robustesse. C’est un outil officiel, français et gratuit.
Transformer « La vie est belle » en « L@Vi3E5tB3LL3 » donne une fausse impression de sécurité. Les outils de cassage de mots de passe intègrent toutes ces substitutions courantes depuis longtemps. Le « @ » pour « a », le « 3 » pour « e », le « 0 » pour « o » ne ralentissent presque pas une attaque moderne. Mieux vaut un mot de plus dans votre phrase qu’un symbole déguisé.
La règle non négociable : un mot de passe unique par compte
Voici le point le plus important de tout ce guide. Et c’est aussi celui que la majorité des gens ignorent. Chaque compte doit avoir son propre mot de passe, totalement différent des autres. Pas deux ou trois mots de passe répartis selon l’importance. Un par compte. Point.
La raison tient en deux mots : credential stuffing. Quand un site est piraté et que sa base de données fuite, les attaquants récupèrent des millions de couples identifiant et mot de passe. Leur premier réflexe est de tester ces couples sur tous les autres services populaires. Banque, messagerie, réseaux sociaux, sites marchands.
Si vous utilisez le même mot de passe partout, une seule fuite compromet toute votre vie numérique. Si chaque compte a un mot de passe unique, une fuite reste cantonnée à un seul service.
Le site Have I Been Pwned recense les fuites de données connues. Entrez votre adresse email, et il vous dit dans quelles bases piratées elle apparaît. C’est gratuit, fiable, et géré par un chercheur en sécurité reconnu. Si un de vos comptes est concerné, changez son mot de passe immédiatement.
Évidemment, retenir un mot de passe unique pour chacun de vos cinquante comptes est impossible pour un cerveau humain normal. C’est exactement le problème que résout l’outil suivant.
Le gestionnaire de mots de passe, l’outil qui change tout
Un gestionnaire de mots de passe est un coffre-fort numérique chiffré. Il génère des mots de passe aléatoires ultra-solides pour chaque compte, les stocke, et les remplit automatiquement quand vous vous connectez. Vous n’avez plus qu’un seul mot de passe à retenir : celui du coffre-fort.
C’est la solution recommandée par l’ANSSI et la CNIL. Elle élimine d’un coup les deux plus gros problèmes : la réutilisation et la faiblesse des mots de passe.
L'architecture zero-knowledge
Les bons gestionnaires utilisent un chiffrement zero-knowledge. Concrètement, l’éditeur du logiciel ne peut pas lire vos mots de passe, même s’il le voulait. Le déchiffrement se fait localement sur votre appareil, avec votre mot de passe maître que vous êtes seul à connaître. Même en cas de piratage des serveurs de l’éditeur, vos données restent illisibles.
Quel gestionnaire choisir en 2026
Le marché a évolué. Certaines références d’hier ne sont plus les meilleures aujourd’hui. Voici les options solides, selon votre profil.
LastPass a longtemps été populaire, mais l’éditeur a subi un vol majeur de coffres-forts en 2022. La prudence invite à privilégier les alternatives ci-dessus. Méfiez-vous aussi des suites antivirus qui proposent un gestionnaire intégré en option payante. Un outil dédié, audité et open source offre de bien meilleures garanties qu’une fonction secondaire greffée sur un antivirus.
Comment bien configurer son gestionnaire
Choisissez un mot de passe maître en béton
C’est la clé de tout votre coffre-fort. Appliquez la méthode de la phrase de passe longue. Ce mot de passe maître ne doit servir à rien d’autre, et vous ne devez le noter nulle part en clair.
Activez la double authentification sur le coffre-fort lui-même
Votre gestionnaire contient tous vos secrets. Protégez-le avec une seconde couche de sécurité, détaillée dans la section suivante.
Importez vos mots de passe existants
La plupart des gestionnaires importent automatiquement les mots de passe enregistrés dans votre navigateur. Une fois l’import fait, supprimez-les du navigateur.
Laissez le gestionnaire générer les nouveaux
À chaque création de compte, laissez l’outil produire un mot de passe aléatoire long. Vous n’avez plus jamais à en inventer un vous-même.
L’ANSSI déconseille l’enregistrement automatique des mots de passe dans Chrome, Firefox ou Edge. Cette pratique est commode mais risquée. En cas de compromission de votre appareil, c’est l’intégralité de vos accès qui est exposée d’un coup. Un gestionnaire dédié est bien mieux protégé.
La double authentification, votre meilleure assurance
Même le meilleur mot de passe peut fuiter. La double authentification, ou 2FA, ajoute une seconde barrière. Après le mot de passe, le service demande une seconde preuve. Un code temporaire, une validation sur votre téléphone, ou une empreinte digitale.
Avec la 2FA activée, un pirate qui connaît votre mot de passe reste bloqué. Il lui manque la seconde clé. C’est aujourd’hui la mesure de sécurité la plus efficace pour son coût en effort, quasiment nul une fois configurée.
Privilégiez les applications d'authentification
Les applications comme Google Authenticator, Microsoft Authenticator ou Aegis génèrent des codes temporaires. Elles sont plus sûres que les codes envoyés par SMS, qui peuvent être interceptés.
Activez-la sur vos comptes critiques en priorité
Messagerie, banque, comptes Apple ou Google, réseaux sociaux. Commencez par ceux dont la compromission ferait le plus de dégâts.
Conservez vos codes de secours
Lors de l’activation, le service fournit des codes de récupération. Notez-les et rangez-les en lieu sûr, hors ligne. Ils vous sauveront si vous perdez votre téléphone.
Les passkeys, l’avenir sans mot de passe
Et si la meilleure façon de créer un mot de passe fort était de ne plus en avoir du tout ? C’est l’idée des passkeys, ou clés d’accès. Apple, Google et Microsoft les déploient massivement, et 2026 est l’année où elles deviennent vraiment courantes.
Le principe d'une passkey
Une passkey remplace le mot de passe par une paire de clés cryptographiques. La clé privée reste sur votre appareil, protégée par votre empreinte ou votre visage. La clé publique est stockée chez le service. Lors de la connexion, votre appareil prouve qu’il détient la clé privée sans jamais la transmettre. Résultat, rien à mémoriser, rien à voler côté serveur, et une résistance native au phishing.
Les avantages sont considérables. Une passkey résiste aux attaques par phishing, car aucun secret réutilisable n’est transmis au serveur. La connexion est aussi beaucoup plus fluide. Des services comme TikTok ou Air New Zealand qui ont déployé les passkeys à grande échelle constatent des taux de réussite de connexion proches de 97 %, contre moins de 50 % avec les mots de passe.
Comment activer une passkey
Sur un compte Google
Allez dans les paramètres de votre compte Google, rubrique Sécurité. Cherchez Clés d’accès et clés de sécurité, puis Créer une clé d’accès. Votre empreinte ou votre code valide l’opération.
Sur un iPhone
Depuis iOS 18, ouvrez l’application Mots de passe dédiée. Pour les sites compatibles, une option Convertir en clé d’accès apparaît, ou la création se fait en une touche via Face ID.
Gardez un appareil de secours
Le principal risque des passkeys est de perdre l’accès si vous n’avez plus aucun appareil synchronisé. Configurez vos clés sur au moins deux appareils, ou conservez une clé de sécurité physique en secours.
Tous les sites ne proposent pas encore les passkeys. Quand un service propose un bouton Se connecter avec Google ou Se connecter avec Apple, vous bénéficiez indirectement de la sécurité de votre compte maître, déjà protégé par une passkey. C’est un moyen simple de contourner les sites en retard technologique.
Les erreurs à ne plus jamais commettre
Pour finir, voici la liste des pratiques à bannir définitivement. Si vous en reconnaissez une dans vos habitudes, c’est le moment de corriger.
Contrairement à une idée reçue, changer ses mots de passe à intervalles réguliers sans raison n’est plus recommandé. L’ANSSI a nuancé cette consigne. Cette pratique pousse les utilisateurs vers des variantes faibles, comme ajouter un chiffre à la fin. En revanche, changez immédiatement tout mot de passe que vous soupçonnez d’avoir fuité.
FAQ : vos questions sur les mots de passe forts
Quelle est la longueur idéale pour un mot de passe en 2026 ? L’ANSSI recommande au minimum 12 caractères, et 16 ou plus pour les comptes les plus sensibles. Mais le bon réflexe est de penser en mots plutôt qu’en caractères. Une phrase de passe de 4 ou 5 mots dépasse facilement ces seuils tout en restant mémorisable.
Une phrase de passe est-elle vraiment plus sûre qu’un mot de passe complexe ? À longueur égale, l’avantage va à la phrase de passe car elle est plus longue dans les faits. L’entropie d’une suite de mots aléatoires dépasse celle d’un mot court rempli de symboles. Et elle a un atout décisif : vous la retenez vraiment, donc vous ne la notez pas et ne la réutilisez pas.
Les gestionnaires de mots de passe sont-ils vraiment sûrs ? Oui, à condition de choisir un outil sérieux, audité et idéalement open source. Ils utilisent un chiffrement de niveau militaire et une architecture zero-knowledge. Le risque résiduel concerne votre mot de passe maître, qui doit être exemplaire, et la double authentification du coffre, qui doit être activée.
Faut-il faire confiance aux passkeys plutôt qu’aux mots de passe ? Les passkeys sont techniquement plus sûres, notamment contre le phishing. Leur principale limite est le risque de perte d’accès si vous n’avez plus d’appareil synchronisé. Conservez toujours un moyen de secours. Pour les comptes qui les proposent, elles représentent un vrai progrès.
Le SMS est-il une bonne méthode de double authentification ? C’est mieux que rien, mais c’est la méthode la plus faible. Les codes par SMS peuvent être interceptés via des attaques sur le réseau téléphonique ou par échange de carte SIM. Préférez une application d’authentification ou une clé physique dès que c’est possible.
Que faire si un de mes comptes a été piraté ? Changez immédiatement le mot de passe du compte concerné. Si vous l’utilisiez ailleurs, changez-le partout, et tirez-en la leçon en passant à des mots de passe uniques. Activez la double authentification, et vérifiez sur Have I Been Pwned l’étendue de la fuite.
Le générateur de la CNIL est-il fiable ? Oui. C’est un outil officiel, gratuit et conçu pour le grand public français. Il génère une phrase de passe à partir d’une méthode mnémotechnique et vous aide à en évaluer la solidité. C’est un bon point de départ si vous débutez.
Pour conclure
Créer un mot de passe fort en 2026 tient en trois idées simples. La longueur compte plus que la complexité, donc pensez phrase de passe. Chaque compte mérite son propre mot de passe, sans exception, parce qu’une fuite ne doit jamais en entraîner d’autres. Et une double authentification activée transforme une faille potentielle en non-événement.
Le reste est une affaire d’outils. Un bon gestionnaire de mots de passe absorbe toute la charge mentale et génère des secrets que vous n’auriez jamais imaginés. Les passkeys, elles, dessinent un futur où la question du mot de passe ne se posera même plus.
La sécurité numérique n’est pas une affaire de génie. C’est une affaire d’hygiène. Un peu comme se laver les mains : ce n’est pas spectaculaire, mais ça évite l’essentiel des ennuis.
Soyez le premier à commenter cet article !