Guide complet pour créer un mot de passe fort en 2026
Les attaques par mots de passe volés et réutilisés sont à l'origine de la majorité des violations de comptes en ligne. Pourtant, créer et gérer des mots de passe forts et uniques pour chaque service est une pratique que peu de personnes appliquent correctement. Ce guide complet explique les principes de base, les recommandations actuelles et comment le Générateur de Mots de Passe de WikiPlus peut vous aider à sécuriser vos comptes.
Les attaques les plus courantes contre les mots de passe
Comprendre les méthodes d'attaque aide à comprendre pourquoi certaines pratiques de mot de passe sont insuffisantes. Attaque par dictionnaire : teste des milliers de mots courants, leurs variantes avec majuscules, substitutions leetspeak (a→@, e→3) et suffixes numériques. « Motdepasse1! » est craqué en quelques secondes. Attaque par force brute : teste toutes les combinaisons possibles. Actuellement, 8 caractères alphanumériques peuvent être craqués en quelques heures avec un GPU moderne. Credential stuffing : utilise des bases de données de mots de passe volés (des milliards d'identifiants circulent sur le dark web) pour tester les mêmes combinaisons email/mot de passe sur des dizaines de services. C'est la raison pour laquelle la réutilisation d'un mot de passe est si dangereuse. Phishing : pas d'attaque technique, l'utilisateur est trompé pour saisir son mot de passe sur un faux site. Même le mot de passe le plus fort ne résiste pas au phishing — d'où l'importance du 2FA.
Recommandations NIST 2024 : ce qui a changé
Les lignes directrices du NIST (National Institute of Standards and Technology) publiées dans SP 800-63B en 2024 ont revisité plusieurs idées reçues sur les mots de passe. Ce que le NIST recommande : longueur minimum de 15-16 caractères (auparavant 8). Autoriser tous les caractères ASCII et Unicode dans les mots de passe. Comparer les mots de passe à des listes de mots de passe compromis connus. Permettre des mots de passe longs (minimum 64 caractères acceptés). Ce que le NIST déconseille désormais : les changements de mot de passe périodiques obligatoires sans raison de sécurité (ils conduisent à des variantes prévisibles comme « Motdepasse2024 » → « Motdepasse2025 »). Les règles de composition complexes qui forcent à mélanger des caractères spécifiques (elles n'améliorent pas autant la sécurité que la longueur). La restriction de coller des mots de passe (elle empêche l'utilisation de gestionnaires). Ces évolutions reflètent les leçons tirées de décennies de compromis de comptes.
Passphrases : la solution mémorisable et forte
Une passphrase est un mot de passe composé de plusieurs mots aléatoires séparés par des espaces ou des caractères. « violet-nuage-marteau-sept » est plus facile à mémoriser que « kT#9mPqW!2x » et offre une entropie comparable ou supérieure. L'entropie d'une passphrase dépend de la liste de mots utilisée. Avec une liste de 7 776 mots (méthode Diceware, 5 jets de dé), chaque mot apporte 12,9 bits d'entropie. Quatre mots donnent environ 51,7 bits. Cinq mots : 64,6 bits. Six mots : 77,5 bits. Sept mots : 90,5 bits — largement au-delà de tout calcul praticable. Les passphrases sont idéales pour les mots de passe qu'on doit mémoriser et parfois taper : le mot de passe maître d'un gestionnaire, le code PIN de déverrouillage de l'ordinateur, le mot de passe Wi-Fi à communiquer verbalement. Le Générateur de Mots de Passe de WikiPlus inclut un mode passphrase pour créer ces séquences de mots aléatoires facilement.
Authentification à deux facteurs (2FA) : le complément indispensable
Un mot de passe fort, aussi robuste soit-il, peut être volé par phishing, keylogger ou violation de données. L'authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire : même en possession de votre mot de passe, un attaquant ne peut pas accéder à votre compte sans le deuxième facteur. Les types de 2FA par ordre de sécurité croissante. SMS (le moins sécurisé) : un code à usage unique envoyé par SMS. Vulnérable au SIM swapping et à l'interception. À utiliser si c'est la seule option disponible. Application TOTP (plus sécurisé) : Google Authenticator, Microsoft Authenticator, Authy, Bitwarden. Génère un code de 6 chiffres valide 30 secondes. Non interceptable par SMS. Recommandé pour la majorité des comptes. Clé de sécurité physique (le plus sécurisé) : YubiKey, Titan Key. Résistant au phishing par conception. Recommandé pour les comptes critiques (email principal, gestionnaire de mots de passe, banque). Passkeys (émergent) : combinaison biométrie + clé cryptographique, élimine le mot de passe. Activez le 2FA sur au minimum : email principal, banque, gestionnaire de mots de passe, réseaux sociaux principaux.
Questions fréquemment posées
- À quelle fréquence doit-on changer ses mots de passe ?
- Le NIST 2024 recommande de ne pas changer les mots de passe périodiquement sans raison, car cela conduit à des variantes prévisibles. Changez un mot de passe si : vous suspectez une compromission, le service a subi une violation de données, ou quelqu'un a pu le voir. Utilisez haveibeenpwned.com pour vérifier si votre email apparaît dans des violations connues.
- Un mot de passe de 8 caractères est-il encore sûr en 2026 ?
- Non. Avec les GPU modernes, un mot de passe de 8 caractères peut être craqué en quelques heures à quelques jours selon sa complexité. Le minimum recommandé par le NIST en 2024 est 15-16 caractères. Pour les comptes sensibles, 20 caractères ou plus.
- Peut-on utiliser le même mot de passe fort sur plusieurs sites ?
- Non. Même un mot de passe très fort ne devrait pas être réutilisé. Si ce site subit une violation de données et que votre mot de passe est récupéré en clair (ou cracké depuis un hachage faible), tous vos comptes utilisant ce mot de passe sont compromis. Utilisez un gestionnaire de mots de passe pour créer un mot de passe unique par site.