CybersécuritéComment créer un mot de passe fort et sécurisé en 2026
Guide pratique pour créer un mot de passe fort et sécurisé : 3 méthodes éprouvées, les meilleurs gestionnaires de mots de passe (Bitwarden, 1Password) et comment activer l'authentification à deux facteurs 2FA
Ce que vous apprendrez
- Vous apprendrez 3 méthodes pour créer un mot de passe fort et sécurisé
- Vous découvrirez les meilleurs gestionnaires de mots de passe comme Bitwarden et 1Password
- Vous saurez comment activer l'authentification à deux facteurs (2FA) pour protéger vos comptes
Pourquoi les mots de passe restent-ils importants ?
Malgré l'essor des technologies d'authentification — empreinte digitale, reconnaissance faciale — le mot de passe reste votre première ligne de défense pour vos comptes numériques. Selon le rapport Verizon 2024, plus de 80 % des violations de données sont causées par des mots de passe faibles ou volés. Les chiffres parlent d'eux-mêmes :
- 10 milliards de mots de passe divulgués circulent sur le dark web
- 59 % des utilisateurs réutilisent le même mot de passe sur plusieurs sites — ce qui expose leur vie privée à de sérieux risques
- Un attaquant peut tester 100 milliards de mots de passe par seconde avec du matériel performant
Si vous pensez que votre mot de passe est sécurisé parce que vous avez ajouté un chiffre à la fin, cet article va changer votre vision des choses.
Les pires mots de passe et leurs dangers
Chaque année, les entreprises de cybersécurité publient la liste des mots de passe les plus courants — et elle ne change guère :
# Top 10 des pires mots de passe — piratés en moins d'une seconde
123456
password
qwerty123
admin
letmein
welcome
monkey
abc123
iloveyou
111111
Si votre mot de passe figure dans cette liste ou lui ressemble, vous êtes en danger réel. Ces mots de passe sont craqués en moins d'une seconde car ce sont les premiers qu'essaient les pirates. Un mot de passe court et courant revient à ne pas en avoir du tout.
Erreurs fréquentes dans le choix des mots de passe
- Utiliser votre prénom ou votre date de naissance — facilement devinable depuis vos réseaux sociaux
- Utiliser le même mot de passe pour tous vos comptes — compromettre un compte, c'est compromettre tous les autres
- Ajouter un chiffre ou un symbole simple à la fin, comme
password1!— les pirates connaissent cette astuce - Noter le mot de passe sur un Post-it collé à l'écran
- Partager un mot de passe par SMS ou e-mail
Les règles d'un mot de passe fort
Un bon mot de passe repose sur trois qualités essentielles : la longueur, la complexité et l'unicité.
La longueur
Chaque caractère supplémentaire multiplie exponentiellement la difficulté à craquer le mot de passe. Voici la comparaison :
| Longueur du mot de passe | Temps de craquage (force brute) |
|---|---|
| 6 caractères | Moins d'une seconde |
| 8 caractères | 5 heures |
| 10 caractères | 6 mois |
| 12 caractères | 34 000 ans |
| 16 caractères | Des millions d'années |
La règle d'or : un minimum de 12 caractères, idéalement 16 caractères ou plus.
La complexité
Combinez différents types de caractères :
- Majuscules :
A-Z - Minuscules :
a-z - Chiffres :
0-9 - Caractères spéciaux :
!@#$%^&*
L'unicité
Chaque compte doit avoir un mot de passe entièrement différent. Si vous utilisez le même mot de passe pour Gmail et pour un petit forum, et que ce forum est compromis, votre boîte mail est exposée aussi. C'est ce qu'on appelle l'attaque par bourrage de credentials (Credential Stuffing).
3 méthodes pour créer des mots de passe forts
Méthode 1 : la phrase de passe (Passphrase)
Plutôt qu'un seul mot complexe, utilisez une suite de plusieurs mots aléatoires. Cette méthode allie facilité de mémorisation et sécurité :
# Exemple de phrase de passe — facile à retenir, difficile à craquer
Café#Montagne_Bleue!Étoile42
Coffee-Mountain-Blue-Star-42!
Une phrase de passe est plus simple à retenir et plus difficile à craquer. Quatre ou cinq mots aléatoires surpassent facilement un mot de passe complexe de 8 caractères.
Méthode 2 : le générateur aléatoire
Laissez un logiciel générer un mot de passe totalement aléatoire :
# Mot de passe aléatoire — le plus solide, mais nécessite un gestionnaire
Kx#9mL$vPq2!nW8@
C'est le type de mot de passe le plus robuste, mais impossible à mémoriser. C'est pourquoi vous avez besoin d'un gestionnaire de mots de passe (Password Manager) — nous y reviendrons.
Méthode 3 : l'acronyme mnémotechnique (Mnemonic)
Choisissez une phrase qui vous parle et prenez la première lettre de chaque mot :
- La phrase : "Je bois 3 tasses de café chaque matin depuis 2015 !"
- Le mot de passe :
Jb3tdCcmd2015!
Ou en anglais :
- La phrase : "My cat Felix has 9 lives and loves fish!"
- Le mot de passe :
McFh9l&lf!
Cette méthode produit des mots de passe solides et faciles à mémoriser en même temps.
Les gestionnaires de mots de passe — pourquoi en avez-vous besoin ?
Si vous avez 50 comptes (c'est la moyenne d'un utilisateur ordinaire), il est impossible de mémoriser 50 mots de passe forts et différents. C'est là qu'intervient le gestionnaire de mots de passe (Password Manager) — une application qui conserve tous vos mots de passe dans un coffre chiffré, accessible par un seul mot de passe maître.
Bitwarden (gratuit et open source)
Le meilleur choix pour l'utilisateur ordinaire. Entièrement gratuit avec d'excellentes fonctionnalités :
- Chiffrement de bout en bout (End-to-End Encryption)
- Disponible sur toutes les plateformes : Windows, Mac, Linux, Android, iOS
- Extension de navigateur pour le remplissage automatique
- Open source — n'importe quel expert peut auditer le code
- La version payante (10 $/an) ajoute l'authentification TOTP intégrée
1Password
Le meilleur choix pour les familles et les équipes :
- Interface soignée et intuitive
- La fonctionnalité Watchtower vous alerte si l'un de vos mots de passe est compromis
- Partage sécurisé des mots de passe avec les membres de la famille
- À partir de 3 $/mois
KeePass (100 % local)
Pour les utilisateurs avancés qui préfèrent un contrôle total :
- Gratuit et open source
- La base de données est stockée localement sur votre machine (aucun cloud)
- Synchronisation manuelle possible via Dropbox ou Google Drive
- Nécessite plus de configuration que les alternatives
Ne faites pas confiance à la sauvegarde des mots de passe dans le navigateur uniquement. Les navigateurs offrent une protection bien plus faible que les gestionnaires de mots de passe spécialisés.
L'authentification à deux facteurs (2FA) — la deuxième couche de protection
Même si votre mot de passe est fort, il peut être volé via le phishing ou une fuite de données. L'authentification à deux facteurs (2FA) ajoute une deuxième couche de protection : même si un attaquant connaît votre mot de passe, il ne peut pas se connecter sans le deuxième facteur.
Les types d'authentification à deux facteurs
| Type | Sécurité | Facilité |
|---|---|---|
| SMS | Faible | Très facile |
| Application d'authentification (TOTP) | Élevée | Facile |
| Clé de sécurité physique (FIDO2) | Maximum | Moyenne |
Les SMS
C'est la forme de 2FA la plus faible — mais c'est mieux que rien. Il est possible de les intercepter via une attaque par échange de carte SIM (SIM Swap), où le pirate convainc l'opérateur téléphonique de transférer votre numéro vers une nouvelle carte.
Les applications d'authentification (TOTP)
L'option recommandée. Elles génèrent un nouveau code toutes les 30 secondes sur votre téléphone :
- Google Authenticator — simple et direct
- Authy — supporte la sauvegarde cloud
- Microsoft Authenticator — intégré aux comptes Microsoft
Les clés de sécurité physiques (FIDO2/WebAuthn)
La forme d'authentification la plus robuste. Un petit dispositif comme la YubiKey se branche sur un port USB lors de la connexion. Impossible à hameçonner ou à copier. Et avec l'évolution des technologies, les clés d'accès (Passkeys) commencent à remplacer les mots de passe traditionnels — lisez notre article sur les Passkeys pour en savoir plus.
Comment activer le 2FA
- Accédez aux paramètres de sécurité de votre compte (Gmail, Twitter, Facebook…)
- Recherchez "Authentification à deux facteurs" ou "Two-Factor Authentication"
- Choisissez l'application d'authentification comme méthode principale
- Scannez le QR code avec votre application d'authentification
- Conservez les codes de récupération en lieu sûr — vous en aurez besoin si vous perdez votre téléphone
Comment les pirates craquent vos mots de passe ?
Comprendre les méthodes d'attaque vous aide à construire des défenses plus solides.
L'attaque par force brute (Brute Force)
L'attaquant essaie toutes les combinaisons possibles caractère par caractère. Plus le mot de passe est long, plus cette attaque devient impraticable. Un mot de passe de 16 caractères mixtes nécessiterait des millions d'années à craquer par force brute.
L'attaque par dictionnaire (Dictionary Attack)
L'attaquant utilise une liste de mots courants et leurs combinaisons. C'est pourquoi vous ne devez jamais utiliser des mots existant dans le dictionnaire comme mot de passe. Même des variations simples comme p@ssw0rd figurent dans les listes des pirates.
Le hameçonnage (Phishing)
La méthode la plus dangereuse, car elle vous piège pour vous faire donner votre mot de passe volontairement. L'attaquant envoie un e-mail semblant provenir de votre banque ou de Google, vous demandant de "confirmer votre compte". Le lien vous mène vers une page frauduleuse qui vole vos données.
Comment vous protéger : ne cliquez jamais sur des liens dans les e-mails. Allez directement sur le site officiel en tapant l'adresse dans le navigateur. Apprenez-en plus dans notre article sur les fondamentaux de la cybersécurité et protégez votre connexion avec un réseau VPN.
Le credential stuffing (Bourrage de credentials)
L'attaquant récupère des mots de passe divulgués sur un site compromis et les teste sur d'autres sites. 59 % des gens réutilisent leurs mots de passe, ce qui rend cette attaque particulièrement efficace.
Les tables arc-en-ciel (Rainbow Table)
Des tables précalculées qui associent chaque mot de passe possible à sa valeur hachée (Hash). Les bons sites utilisent la technique de salage (Salting) pour neutraliser ce type d'attaque.
Comment vérifier si votre mot de passe a été divulgué ?
Le site Have I Been Pwned vous permet de vérifier gratuitement :
- Rendez-vous sur haveibeenpwned.com
- Saisissez votre adresse e-mail
- Le site vous indiquera si votre e-mail apparaît dans une fuite de données
- Si c'est le cas — changez immédiatement le mot de passe de ce compte
Le site est totalement sûr et ne conserve pas votre adresse. Il a été créé par le chercheur en sécurité Troy Hunt et est utilisé par des gouvernements et de grandes institutions. Vous pouvez aussi activer les alertes pour recevoir une notification si votre adresse apparaît dans une future fuite.
Vous pouvez également vérifier un mot de passe spécifique dans la section "Passwords" du site. La vérification utilise la technique k-Anonymity — votre mot de passe complet n'est jamais envoyé au site.
Plan d'action : sécurisez vos comptes maintenant
Ne remettez pas la protection de vos comptes à plus tard. Suivez ces étapes dès aujourd'hui :
- Installez un gestionnaire de mots de passe — commencez par Bitwarden, qui est gratuit
- Changez les mots de passe de vos comptes les plus importants — e-mail, banque, réseaux sociaux
- Activez le 2FA sur chaque compte qui le supporte — commencez par votre e-mail
- Vérifiez votre adresse sur haveibeenpwned.com
- Ne réutilisez plus jamais un mot de passe
Questions fréquentes
؟À quelle fréquence faut-il changer son mot de passe ?
La recommandation actuelle du NIST (National Institute of Standards and Technology) est que vous n'avez pas besoin de le changer régulièrement s'il est fort et unique. Changez-le uniquement si vous suspectez une fuite ou si une violation du site que vous utilisez est annoncée.
؟Peut-on utiliser des caractères accentués dans un mot de passe ?
Techniquement oui, mais ce n'est pas recommandé car certains sites et systèmes ne gèrent pas correctement les caractères spéciaux ou accentués dans les mots de passe. Utilisez des caractères latins standards, des chiffres et des symboles pour garantir la compatibilité.
؟Quel est le meilleur gestionnaire de mots de passe pour les débutants ?
Bitwarden — gratuit, facile à utiliser, open source, et disponible sur toutes les plateformes. Commencez par là, vous n'aurez pas besoin d'en changer.
؟L'authentification 2FA par SMS est-elle sécurisée ?
C'est mieux que rien, mais c'est la méthode 2FA la plus faible. Préférez une application d'authentification comme Google Authenticator ou Authy si possible.
؟Que faire si j'oublie le mot de passe maître de mon gestionnaire ?
C'est un problème sérieux, car le gestionnaire ne peut pas le récupérer pour vous (pour des raisons de sécurité). Mémorisez bien votre mot de passe maître et notez-le sur un papier que vous conservez en lieu sûr physiquement (comme un coffre). Gardez aussi vos codes de récupération.
؟Se connecter avec un compte Google ou Apple est-il sécurisé ?
Oui, la connexion unique (SSO — Single Sign-On) via Google ou Apple est généralement sécurisée et réduit le nombre de mots de passe à gérer. Assurez-vous simplement de sécuriser votre compte Google ou Apple avec un mot de passe fort et le 2FA.
Un mot de passe fort n'est pas un luxe — c'est votre première ligne de défense dans un monde où les cyberattaques se multiplient chaque jour. La recette est simple : utilisez un gestionnaire de mots de passe comme Bitwarden, activez l'authentification à deux facteurs sur tous vos comptes importants, et ne réutilisez jamais le même mot de passe.
N'attendez pas d'être piraté pour réagir. Commencez dès maintenant par sécuriser vos comptes les plus sensibles — e-mail et banque — puis passez progressivement aux autres. Et lisez notre guide sur les fondamentaux de la cybersécurité pour construire une protection numérique complète.
Sources et références
Département Cybersécurité — AI Darsi
Spécialistes en sécurité de l'information et protection numérique
