En 2026, les cyberattaques sont plus sophistiquées que jamais. Pourtant, « 123456 » reste le mot de passe le plus utilisé au monde. Voici les règles essentielles pour protéger vos comptes avec des mots de passe réellement sécurisés.
Pourquoi les mots de passe courts ne suffisent plus
La puissance de calcul des processeurs et des GPU modernes permet de tester des milliards de combinaisons par seconde. Un mot de passe de 8 caractères, même avec des caractères spéciaux, peut être craqué en quelques heures par force brute. En revanche, chaque caractère supplémentaire multiplie le temps de craquage de manière exponentielle.
Les attaques ne se limitent pas à la force brute. Les attaques par dictionnaire testent des millions de mots courants, de noms propres et de combinaisons connues (issues de fuites de données précédentes). Si votre mot de passe est un mot du dictionnaire suivi de quelques chiffres (ex. : « Soleil2024 »), il sera trouvé en quelques secondes.
| Longueur | Chiffres seuls | Minuscules | Mixte + spéciaux |
|---|---|---|---|
| 6 caractères | Instantané | Instantané | Instantané |
| 8 caractères | Instantané | 5 minutes | 8 heures |
| 10 caractères | 10 secondes | 4 semaines | 5 ans |
| 12 caractères | 25 secondes | 200 ans | 34 000 ans |
| 14 caractères | 41 minutes | 51 siècles | 200 millions d'années |
| 16+ caractères | 69 jours | 3 millions d'années | Des milliards d'années |
Le constat est clair : en dessous de 12 caractères avec un jeu mixte, votre mot de passe est vulnérable aux attaques modernes. La longueur est le facteur de sécurité le plus déterminant.
Les critères d'un bon mot de passe
Les recommandations de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et du NIST américain convergent en 2026. Un mot de passe robuste doit respecter ces critères :
- Longueur minimale de 14 caractères — c'est le critère le plus important, loin devant la complexité
- Mélange de 4 types de caractères : majuscules (A-Z), minuscules (a-z), chiffres (0-9) et caractères spéciaux (!@#$%...)
- Aucun mot du dictionnaire — ni en français, ni en anglais, ni dans aucune langue
- Aucune information personnelle — pas de prénom, date de naissance, nom d'animal ou code postal
- Unique pour chaque compte — ne jamais réutiliser un mot de passe, même une variante
Le piège classique ? Croire qu'un mot court mais « complexe » comme P@ss1! est sécurisé. En réalité, il est dans toutes les bases de données de mots de passe fuitées et sera testé en priorité.
La méthode des phrases de passe
Le meilleur compromis entre sécurité et mémorisation est la phrase de passe (passphrase). Le principe est simple : combiner plusieurs mots sans lien logique, séparés par des caractères spéciaux, avec quelques chiffres.
Par exemple : Mon-Chat-Mange-3-Souris! fait 25 caractères, mélange majuscules, minuscules, chiffres et spéciaux, et se retient facilement grâce à l'image mentale. Avec la force brute, il faudrait des milliards d'années pour le craquer.
Quelques règles pour une bonne phrase de passe :
- Choisir au moins 4 mots sans lien évident entre eux
- Ajouter des séparateurs variés : tirets, points, slashs, underscores
- Insérer au moins un chiffre et un caractère spécial
- Éviter les citations célèbres, paroles de chansons ou proverbes
Testez la robustesse de votre phrase de passe avec notre outil d'analyse de mot de passe.
Les gestionnaires de mots de passe
Avec des dizaines de comptes en ligne, retenir un mot de passe unique et fort pour chacun est humainement impossible. C'est là qu'interviennent les gestionnaires de mots de passe : ils stockent tous vos identifiants dans un coffre-fort chiffré, accessible avec un seul mot de passe maître.
Voici les trois solutions les plus recommandées en 2026 :
- Bitwarden — open source, gratuit pour un usage personnel, synchronisation multi-appareils. L'option la plus populaire.
- KeePass — open source, stockage 100 % local (aucun cloud). Idéal pour les utilisateurs avancés soucieux de leur souveraineté numérique.
- 1Password — payant, interface très soignée et fonctionnalités avancées (Watchtower pour détecter les fuites). Excellent pour les familles.
L'essentiel est de choisir un mot de passe maître très robuste (une phrase de passe de 20+ caractères) et d'activer la double authentification sur le gestionnaire lui-même. Le carnet de mots de passe papier ou le fichier Excel non chiffré sont à proscrire absolument.
L'authentification à deux facteurs (2FA)
Même le meilleur mot de passe du monde peut être compromis par une fuite de données ou un phishing réussi. C'est pourquoi l'authentification à deux facteurs (2FA), aussi appelée MFA (multi-factor authentication), est devenue indispensable en 2026.
Le principe : en plus de votre mot de passe, vous devez fournir un second facteur de vérification — quelque chose que vous possédez (téléphone, clé physique) ou que vous êtes (empreinte digitale).
Les méthodes 2FA, classées de la moins à la plus sécurisée :
- SMS — simple mais vulnérable au SIM swapping. À utiliser uniquement si aucune autre option n'est disponible.
- Application TOTP (Google Authenticator, Authy, Microsoft Authenticator) — génère un code à 6 chiffres qui change toutes les 30 secondes. Excellente sécurité, gratuit.
- Clé physique (YubiKey, Titan) — impossible à pirater à distance. La solution la plus robuste pour les comptes critiques (email, banque).
Activez la 2FA en priorité sur vos comptes les plus sensibles : email principal (c'est la clé de tous vos autres comptes), banque en ligne, réseaux sociaux et bien sûr votre gestionnaire de mots de passe.
Besoin de vérifier la robustesse de vos mots de passe actuels ? Utilisez notre générateur et testeur de mot de passe pour obtenir un score de sécurité instantané et des recommandations concrètes.