Sécurité des mots de passe en 2026 : ce qui fonctionne vraiment
Au-delà des bases — comment fonctionnent les attaques modernes sur les mots de passe, pourquoi les règles de complexité échouent, et ce qui protège réellement vos comptes aujourd'hui.
Le conseil n'a pas changé depuis 20 ans : utilisez des mots de passe forts. Mais le paysage des menaces a radicalement évolué. Voici ce qui fonctionne vraiment en 2026 — et pourquoi les anciennes règles sont souvent inefficaces.
Comment les mots de passe sont compromis
Comprendre l'attaque permet de mieux se défendre :
Credential stuffing — Les attaquants récupèrent des paires identifiant/mot de passe issues d'une fuite (des milliards existent dans des bases de données publiques) et les testent sur d'autres sites. Si vous réutilisez vos mots de passe, une seule fuite compromet tout.
Brute force — Tester systématiquement toutes les combinaisons possibles. Inefficace contre les mots de passe longs et aléatoires, mais redoutablement efficace contre les mots de passe courts ou basés sur des schémas prévisibles.
Attaques par dictionnaire — Utilisation de listes de mots de passe courants et de leurs variantes (password, P@ssw0rd, password123). Les règles de complexité qui génèrent ces schémas donnent un faux sentiment de sécurité.
Hameçonnage (phishing) — Vous inciter à saisir votre mot de passe sur un faux site. Aucune robustesse de mot de passe n'y peut rien.
Fuites de données — Bases de données issues de services compromis. Vérifiez sur haveibeenpwned.com si votre adresse e-mail figure dans des fuites connues.
Pourquoi les règles de complexité échouent
Les règles classiques — « doit contenir une majuscule, une minuscule, un chiffre et un symbole » — produisent des schémas prévisibles :
Summer2024!— Satisfait toutes les règles, cracké en quelques secondes par une attaque par dictionnaireCorrect!Horse2#— Même problème
Ces règles ont été conçues pour des mots de passe mémorisables par l'humain. Elles échouent parce que les humains suivent tous les mêmes schémas. La règle elle-même devient le vecteur d'attaque.
Ce que la longueur change vraiment
Vitesse de craquage en 2024 (GPU, hash bcrypt) :
| Longueur | Jeu de caractères | Temps de craquage |
|---|---|---|
| 8 caractères | Minuscules uniquement | Quelques secondes |
| 8 caractères | Mixte + symboles | Minutes à heures |
| 12 caractères | Mixte + symboles | Plusieurs mois |
| 16 caractères | Mixte + symboles | Des siècles |
| 20 caractères | Minuscules uniquement | Des siècles quand même |
La longueur prime sur la complexité. Un mot de passe de 20 caractères en minuscules est plus solide qu'un mot de passe « complexe » de 8 caractères. Chaque caractère supplémentaire multiplie l'espace de recherche.
Diceware : mémorisable et robuste
Diceware génère des phrases secrètes à partir de mots choisis aléatoirement :
correct-horse-battery-staple
Cette phrase de 4 mots est :
- Mémorisable — vous pouvez réellement vous en souvenir
- Robuste — 4 mots courants issus de la liste EFF offrent environ 51 bits d'entropie
- Rapide à saisir — pas de caractères spéciaux à chercher
L'ajout d'un 5e mot la porte à ~64 bits — plus solide que la plupart des mots de passe « complexes » de 12 caractères, et bien plus facile à retenir.
Essayez notre Diceware Password Generator — il utilise une randomisation cryptographique et la liste de mots EFF.
Mots de passe aléatoires pour tout le reste
Pour les comptes où vous n'avez pas besoin de taper le mot de passe (90 % des sites), un gestionnaire de mots de passe génère et stocke des mots de passe entièrement aléatoires :
K7#mP2xQnL9vR4tY
Vous n'avez jamais besoin de le voir ni de le taper. Le gestionnaire le saisit à votre place. Notre Password Generator crée ce type de mots de passe avec une longueur et des jeux de caractères configurables.
La règle essentielle : un mot de passe unique par site, sans exception. La réutilisation est la plus grande erreur en matière de sécurité des mots de passe.
Évaluer la robustesse d'un mot de passe
Tous les outils de vérification ne se valent pas. Un bon outil évalue :
- L'entropie (le caractère aléatoire effectif), pas seulement la conformité aux règles
- La détection de schémas —
P@ssw0rdobtient un mauvais score malgré le respect des règles de complexité - L'appartenance à un dictionnaire — ce mot de passe est-il connu comme faible ?
Notre Password Strength Checker utilise zxcvbn, la bibliothèque développée par Dropbox — elle modélise des attaques réalistes plutôt que de simplement cocher des cases.
Authentification à deux facteurs (2FA)
La mesure de sécurité à l'impact le plus élevé que vous puissiez prendre est d'activer la 2FA sur vos comptes importants. Même un mot de passe compromis ne permettra pas la connexion sans le second facteur.
TOTP (mots de passe à usage unique basés sur le temps) — des applications comme Google Authenticator génèrent un code à 6 chiffres qui change toutes les 30 secondes. Notre TOTP Generator vous permet de tester les flux TOTP avec une clé secrète.
Comptes prioritaires pour la 2FA :
- E-mail (contrôle la récupération de compte pour tout le reste)
- Gestionnaire de mots de passe
- Comptes bancaires et financiers
- Comptes professionnels
Clés SSH et RSA : des mots de passe pour les machines
Pour l'accès aux serveurs et l'authentification API, utilisez des paires de clés plutôt que des mots de passe :
- Clés SSH — Les clés Ed25519 sont le standard moderne pour l'accès aux serveurs. Générez-les avec notre SSH Key Generator.
- Clés RSA — Utilisées pour le chiffrement, la signature et les systèmes legacy. Générez des paires 2048 bits ou 4096 bits avec notre RSA Key Generator.
Les clés sont fondamentalement plus solides que les mots de passe car elles sont trop longues à taper, trop aléatoires pour être devinées, et ne transitent jamais sur le réseau.
Résumé
La hiérarchie de sécurité, par ordre d'impact :
- Un mot de passe unique par site — utilisez un gestionnaire de mots de passe
- Long et aléatoire — 16 caractères minimum pour les mots de passe saisis, ou diceware pour les phrases mémorisables
- 2FA sur les comptes critiques — en particulier l'e-mail
- Vérifier l'exposition aux fuites — changez immédiatement tout mot de passe compromis
Les règles de complexité, les renouvellements forcés périodiques et les questions de sécurité sont des pratiques de sécurité dépassées. La longueur, l'unicité et la 2FA sont ce qui vous protège vraiment.