Les identifiants volés sont à l’origine de 22 % des cyberattaques selon le Verizon DBIR 2025 — et 88 % des attaques sur les applications web impliquent des mots de passe compromis. Autrement dit, choisir un bon mot de passe (et le stocker correctement) reste l’un des gestes les plus efficaces pour protéger ta vie numérique.
À retenir
- Le NIST (2025) recommande 15+ caractères, sans obligation de caractères spéciaux.
- Bitwarden (gratuit, open-source) remplace avantageusement LastPass, victime d’une fuite massive en 2022.
- La technique de la phrase mnémotechnique reste valide — mais un gestionnaire fait le travail à ta place.
- Vérifie dès maintenant si tes comptes ont fuité sur haveibeenpwned.com.
- Les passkeys (FIDO2) remplacent progressivement les mots de passe — adopte-les dès que possible.
↻ Article entièrement revu en mai 2026 : alerte LastPass, recommandations NIST SP 800-63B Rev. 4 (août 2025), gestionnaires 2026, passkeys.
Tes mots de passe sont-ils déjà compromis ?
Le service Have I Been Pwned traite plus de 18 milliards de requêtes par mois et recense 991 sites victimes de fuites. En novembre 2025, une seule opération a ajouté 1,3 milliard de mots de passe uniques à la base. La probabilité que l’un de tes mots de passe y figure est donc élevée. Et les plus courants dans ces bases restent invariablement « 123456 », « password » ou « azerty ».
Un attaquant ne devine pas ton mot de passe. Il teste des millions de combinaisons par seconde via une attaque brute force, ou s’appuie sur des dictionnaires de mots courants. Si ton mot de passe a une signification (prénom, date, ville), il tombe en secondes. Premier réflexe : entre ton adresse email sur haveibeenpwned.com et découvre combien de fois elle a fuité.
Ce que le NIST recommande en 2026 : longueur avant tout
Le NIST a publié en août 2025 la révision 4 de sa norme SP 800-63B. Surprise : les règles de complexité arbitraires (majuscules obligatoires, caractères spéciaux imposés) ont été abandonnées. Ce qui compte désormais, c’est la longueur. Voici les points clés (NIST SP 800-63B Rev. 4, 2025) :
- 15 caractères minimum quand le mot de passe est le seul facteur d’authentification.
- Pas de règle de complexité imposée — un seul type de caractère peut suffire si la longueur est là.
- Rotation uniquement en cas de compromission — changer de mot de passe tous les 3 mois ne sert à rien.
- Vérification contre les bases de fuites — les bons services bloquent automatiquement les mots de passe connus comme compromis.
- MFA fortement recommandée — le mot de passe seul ne suffit plus.
En pratique : « MonChatAdoreLeJambon2026 » est techniquement plus robuste que « P@$$w0rd ». La longueur l’emporte sur la complexité.
Comment créer un mot de passe fort facile à retenir ?
Si tu préfères éviter les gestionnaires, deux méthodes éprouvées permettent de créer des mots de passe solides et mémorisables.
La méthode par initiales de phrase
Pars d’une phrase longue et personnelle. Par exemple :
Il doit apprendre la multiplication 6 × 2 pour demain !Garde les premières lettres de chaque mot, voyelles en majuscule, consonnes en minuscule :
IdAlm6×2pd!Ajoute les 4 premières lettres du site concerné pour rendre chaque mot de passe unique :
IdAlm6×2pd!AmAz ← Amazon
IdAlm6×2pd!gmAI ← Gmail
IdAlm6×2pd!twIt ← Twitter/XRésultat : 15 caractères, sans signification apparente, unique par site. Conforme aux recommandations NIST 2025. Et seul toi peux le reconstituer depuis ta phrase secrète.
La méthode passphrase (recommandée par l’ANSSI)
Encore plus simple : chaîne 4 à 5 mots aléatoires séparés par un tiret. « vélo-cactus-tonnerre-piscine » fait 28 caractères et résiste à toute attaque brute force, même avec du matériel spécialisé. L’ANSSI recommande cette approche dans ses guides publics : c’est facile à retenir, impossible à deviner.
Quel gestionnaire de mots de passe choisir en 2026 ?
Retenir un mot de passe différent pour chaque site, c’est bien. Laisser un logiciel le faire à ta place, c’est mieux. Un gestionnaire de mots de passe génère des mots de passe aléatoires de 20 caractères ou plus et les stocke chiffrés dans un coffre sécurisé. Tu ne retiens qu’un seul mot de passe maître — long et solide.
⚠️ Alerte LastPass : évite-le en 2026
En 2022, LastPass a subi l’une des pires fuites de l’histoire des gestionnaires de mots de passe. Des attaquants ont exfiltré les coffres chiffrés de millions d’utilisateurs, avec des URLs en clair et des vaults complets. En mars 2025, le FBI a lié un vol de 150 millions de dollars en cryptomonnaies directement à cette fuite (Krebs on Security, mars 2025). LastPass a conclu un règlement de 24,5 millions de dollars pour le recours collectif de ses clients. Utiliser LastPass en 2026, c’est maintenir un risque documenté — sans raison valable, puisque de meilleures alternatives existent gratuitement.
Bitwarden — la meilleure option gratuite
Bitwarden est open-source, gratuit, et chiffré en AES-256. Son code source est audité publiquement — pas de backdoor possible. Disponible sur Windows, Mac, Linux, iOS, Android, et tous les navigateurs majeurs. La version gratuite inclut un stockage illimité, la synchronisation multi-appareils et le générateur de mots de passe. Pour 90 % des utilisateurs, c’est la recommandation sans hésitation.
KeePass 2.x / KeePassXC — le choix du contrôle total
KeePass 2.x est le seul gestionnaire officiellement certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). KeePassXC en est le fork communautaire moderne, disponible sur Windows, Mac et Linux. Principe fondamental : ton fichier de mots de passe reste exclusivement sur ton appareil, aucun serveur distant n’y touche. La synchronisation entre appareils est manuelle (via un NAS, un cloud personnel ou Syncthing). Interface plus austère, mais sécurité maximale.
1Password — le choix premium
Payant (environ 3 €/mois), 1Password propose une UX soignée, un système d’alerte Watchtower qui signale tes mots de passe compromis, et un « Travel Mode » qui masque les données sensibles à la frontière. C’est le choix des équipes et des familles qui veulent un outil sans friction. L’ancienne version de 1Password autorisait un stockage local ; depuis la version 8, tout passe par le cloud. À garder en tête.
La double authentification (2FA) : indispensable, pas optionnelle
Un bon mot de passe ne suffit plus. Active la double authentification (2FA) sur tous les services importants : banque, email, gestionnaire de mots de passe, réseaux sociaux. Si ton mot de passe fuite, le 2FA bloque l’accès à l’attaquant. Voici par ordre de robustesse :
- Clé de sécurité physique (YubiKey) — protection maximale, aucun phishing ne passe.
- Application TOTP (Aegis sur Android, Raivo sur iOS, Microsoft Authenticator) — génère un code à 6 chiffres valable 30 secondes.
- SMS 2FA — acceptable mais vulnérable aux attaques SIM-swapping. À utiliser uniquement si le site ne propose pas mieux.
Pour aller plus loin sur la protection de ta vie numérique, consulte notre guide complet VPN & vie privée et notre article sur la messagerie sécurisée Proton Mail.
Les passkeys : la fin programmée des mots de passe
Depuis 2022, Apple, Google et Microsoft ont adopté les passkeys — des clés cryptographiques basées sur FIDO2/WebAuthn qui suppriment totalement le mot de passe. L’authentification se fait via ton empreinte digitale, ton visage ou le PIN de ton appareil. Pas de mot de passe à retenir, pas de phishing possible par définition.
En 2026, les passkeys affichent un taux de succès de 93 % contre 63 % pour les mots de passe + MFA traditionnels (Authsignal, 2025). L’authentification est 14 fois plus rapide : 3 secondes au lieu de 69. Google, Apple ID, GitHub, PayPal et de nombreux services bancaires les supportent déjà. Chaque fois que tu vois l’option « Se connecter avec une clé d’accès », adopte-la — c’est plus sûr et plus rapide.
Récapitulatif des bonnes pratiques 2026
- Un site = un mot de passe unique. Un seul pour tout, c’est prendre le risque qu’une fuite mineure compromette tes comptes importants.
- 15 caractères minimum (NIST 2025) — la longueur prime sur la complexité.
- Utilise Bitwarden ou KeePassXC pour générer et stocker tes mots de passe. Évite LastPass.
- Active le 2FA sur tous les services importants, de préférence avec une application TOTP.
- Vérifie tes fuites sur haveibeenpwned.com — gratuit et immédiat.
- Adopte les passkeys dès que les sites les proposent.
- Ne note jamais un mot de passe dans un fichier texte, une note téléphonique ou un email.
Questions fréquentes sur les mots de passe sécurisés
Quelle longueur de mot de passe en 2026 ?
Le NIST recommande 15 caractères minimum quand le mot de passe est le seul facteur d’authentification. En pratique, génère des mots de passe de 20 caractères ou plus via Bitwarden ou KeePassXC — tu n’as pas besoin de les retenir. La longueur compte plus que la complexité.
Faut-il changer ses mots de passe régulièrement ?
Non — sauf si un service que tu utilises a été compromis. Le NIST SP 800-63B Rev. 4 (2025) a officiellement abandonné la recommandation de rotation périodique. Forcer des changements tous les 3 mois pousse les utilisateurs à choisir des mots de passe prévisibles (pass1, pass2…), ce qui affaiblit la sécurité.
Le gestionnaire de mots de passe du navigateur est-il suffisant ?
Pour un usage basique, oui. Chrome, Firefox et Safari chiffrent tes mots de passe et les synchronisent entre appareils. Leurs limites : moins de contrôle qu’un outil dédié, dépendance à l’écosystème du navigateur, et pas de générateur de mots de passe avancé. Pour un usage sérieux ou multi-appareils multi-plateformes, préfère Bitwarden.
Que faire si mon email apparaît sur Have I Been Pwned ?
Identifie le ou les services concernés et change immédiatement les mots de passe — en priorité sur tous les sites où tu réutilisais le même. Active le 2FA. Si ton adresse principale a fuité, surveille les tentatives de connexion inhabituelles et envisage de migrer vers une messagerie chiffrée comme Proton Mail. Consulte aussi notre comparatif des meilleurs services mail sécurisés.
Il existe des générateurs de mot de passe aléatoires en ligne http://www.generateur-motdepasse.com/
L’article est sympa mais la dernière phrase gâche tout. Non on n’utilise pas un outil en ligne pour tester la complexité d’un mot de passe. Tout simplement par ce que le risque que le site serve à alimenter des bdd de mot de passe reste une possibilité et que donc aussitôt créé votre mot de passe se retrouve ajouter au dictionnaire des différents outils disponibles.
Oui je vous l’accorde le test en ligne pourra vous aider plutôt à voir ce qu’est un bon et un mauvais password avant de fabriquer le votre ensuite.
Pour le gestionnaire de mots de passe effectivement autant mettre des passwords ultras complexes, puisque c’est le gestionnaire qui va gérer, mais il te faut malgré tout un password pour accéder au gestionnaire, et pour celui là la méthode peut s’appliquer.
Pourquoi vouloir tester ton mot de passe sur un site en ligne ?
Globalement ça n’apporte rien, si ce n’est dévoilé ton mot de passe à des tiers. Je trouve ça complètement contre productif.
Définir des mots de passe à partir de règles comme expliqué dans l’article réduit la complexité des mots de passe dans l’ensemble. Si par hasard on trouve 2 ou 3 mots de passe, on peut facilement en déduire certaines règles et tenter de forcer tous tes comptes.
Autant utiliser bêtement un gestionnaire de mot de passe, qui générera quelque chose de complètement aléatoire à chaque fois (tu définit un longueur minimum de 30 caractères en alpha-numérique et caractère spéciaux ) et solide.
La seule contrepartie, c’est de ne pas perdre le fichier où sont stockés tes mots de passe.
Autre point non mentionné, il faut penser à renouveler régulièrement ses mots de passe.