Mots de passe solides en 2026 : une courte checklist pour les humains ordinaires
Longueur versus complexité, gestionnaires de mots de passe, MFA et comment tester la robustesse sans envoyer vos secrets à un serveur.
Les règles de mot de passe du type « une majuscule, un symbole » avaient du sens quand les attaquants tentaient quelques milliers de combinaisons. Aujourd'hui, le credential stuffing (réutilisation de paires e-mail/mot de passe issues de fuites) et le craquage de hash hors ligne dominent. Les recommandations modernes privilégient des secrets longs et uniques ainsi qu'un second facteur — plutôt que des mots de passe courts mais « astucieux ».
La longueur l'emporte sur l'« astuce »
Une phrase de passe de quatre mots aléatoires avec un séparateur (par ex. dans le style correct-horse-battery-staple, mais choisis aléatoirement) ou un mot de passe de 20 caractères ou plus généré automatiquement est bien plus difficile à craquer que P@ssw0rd!1, qui figure dans toutes les listes de fuites.
Le meilleur mot de passe est celui que vous ne réutilisez jamais et que vous n'avez pas à mémoriser pour des dizaines de sites — utilisez un gestionnaire de mots de passe.
Gestionnaires de mots de passe
- Génèrent des mots de passe uniques pour chaque site.
- Stockent les seeds TOTP ou les passkeys lorsque c'est pris en charge.
- Protègent le coffre-fort avec un mot de passe maître solide et la sécurité de l'appareil.
Authentification multi-facteurs (MFA)
Les codes par SMS valent mieux que rien, mais sont vulnérables au SIM swap. Préférez les applications d'authentification ou les clés matérielles (WebAuthn/FIDO2) pour les comptes à haute valeur (e-mail, banque, bureau d'enregistrement de domaine, administration cloud).
Tester la robustesse en local
Les « jaugeurs de robustesse » qui envoient votre mot de passe à un serveur sont à proscrire. Utilisez des outils qui fonctionnent entièrement dans votre navigateur et ne transmettent jamais le secret.
Notre Générateur de mots de passe crée des chaînes aléatoires que vous pouvez personnaliser selon la longueur et les jeux de caractères, et le Vérificateur de robustesse de mot de passe évalue les signaux de type entropie côté client, de sorte que votre mot de passe candidat reste privé.
Pour les développeurs qui stockent des mots de passe : ne déployez jamais en clair. Utilisez des hachages lents (Argon2, scrypt ou bcrypt) avec des salts par utilisateur. Le Générateur de hash est pratique pour les checksums et les concepts HMAC, mais pas pour le stockage de mots de passe en production — utilisez plutôt des bibliothèques éprouvées dans votre stack.
Ce que les utilisateurs devraient vraiment faire
- Activer le MFA pour les comptes e-mail et financiers.
- Utiliser un gestionnaire de mots de passe et le laisser générer des mots de passe de 20 caractères ou plus.
- Révoquer les accès lorsque des employés ou prestataires quittent l'entreprise ; changer les secrets partagés via des messageries.
- Surveiller les notifications de fuite et changer uniquement les mots de passe concernés (ou s'appuyer sur l'unicité garantie par le gestionnaire).
De bonnes habitudes passent mieux à l'échelle qu'une mémoire parfaite — et elles se combinent parfaitement avec les outils gratuits ci-dessus quand vous avez besoin d'une aide rapide et utilisable hors ligne.