RUNWEBTOOLS
Français
Sécurité & confidentialité

Comment créer et gérer des mots de passe forts

Mis à jour 2026-07-06

Presque tout le monde sait qu'il devrait utiliser des mots de passe forts, pourtant les plus courants restent 123456 et password. Une partie du problème vient de mauvais conseils : pendant des années, on nous a dit d'utiliser un court fatras de symboles et de le changer chaque mois, ce qui s'avère à la fois dur à retenir et pas spécialement sûr. Ce guide explique ce qui rend vraiment un mot de passe fort et comment gérer ses mots de passe sans perdre la tête.

Ce qui rend un mot de passe fort

Un mot de passe est fort quand il est dur à deviner et dur à casser par force brute — quand il y a tant de possibilités que toutes les essayer est irréaliste. Deux choses le déterminent : la longueur et l'imprévisibilité.

La longueur l'emporte sur la complexité

Chaque caractère supplémentaire multiplie le nombre de mots de passe possibles, donc la longueur est de loin le facteur le plus puissant. Une longue phrase de passe faite de mots ordinaires est bien plus forte qu'une courte chaîne cryptique — et bien plus facile à retenir :

Plus faible : P@ss1!        (8 caractères, a l'air « complexe »)
Plus fort :   correct-horse-battery-staple   (long)

La cryptique est plus faible parce que les attaquants connaissent toutes les astuces habituelles — remplacer a par @, ajouter 1! à la fin — et leur logiciel essaie ces motifs d'abord. La longueur brute l'emporte sur les substitutions prévisibles.

Imprévisibilité (entropie)

L'autre moitié, c'est le hasard. Un mot de passe fait d'un mélange vraiment aléatoire de caractères ou de mots choisis au hasard a une haute entropie — une mesure de son imprévisibilité. Tout ce qui repose sur des détails personnels (votre nom, anniversaire, animal, équipe préférée) a une faible entropie car c'est devinable, même si ça a l'air désordonné.

Comment les attaquants craquent réellement les mots de passe

Comprendre la menace fait que le conseil prend son sens :

  • Bourrage d'identifiants (credential stuffing) — quand un site est piraté, les attaquants essaient les paires e-mail/mot de passe fuitées sur tous les autres sites. C'est pourquoi réutiliser des mots de passe est si dangereux.
  • Attaques par dictionnaire — essayer des listes de mots de passe et de mots courants, y compris les substitutions prévisibles ci-dessus.
  • Force brute — essayer chaque combinaison. La longueur est ce qui rend cela sans espoir pour l'attaquant.

Les trois règles qui comptent le plus

  1. Faites-les longs — visez 16+ caractères ou une phrase de passe de plusieurs mots.
  2. Rendez chacun unique — ne réutilisez jamais un mot de passe d'un site à l'autre, pour qu'une fuite ne déverrouille pas le reste.
  3. Rendez-les aléatoires — ne les fondez sur rien qui vous concerne.

Un moyen rapide d'en générer un qui satisfait les trois est notre générateur de mots de passe : il crée des mots de passe aléatoires forts entièrement dans votre navigateur (rien n'est envoyé nulle part) et vous laisse régler la longueur et les types de caractères. Pour des secrets de machine à machine comme des clés d'API, un générateur de chaînes aléatoires fait le même travail.

Comment les retenir tous : ne le faites pas

Les règles ci-dessus sont impossibles à suivre de mémoire sur des dizaines de comptes — c'est exactement pourquoi les gens réutilisent leurs mots de passe. La réponse est d'arrêter d'essayer de les retenir :

  • Utilisez un gestionnaire de mots de passe. Il génère, stocke et remplit un mot de passe fort unique pour chaque site, et vous ne retenez qu'un seul mot de passe maître fort.
  • Activez l'authentification à deux facteurs (2FA). Même si un mot de passe fuit, un second facteur (un code d'appli ou une clé matérielle) empêche un attaquant de se connecter. Activez-la partout où c'est proposé, surtout pour l'e-mail et la banque.
  • Protégez votre e-mail avant tout. Votre compte e-mail peut réinitialiser la plupart de vos autres mots de passe, il mérite donc votre mot de passe unique le plus long et la 2FA.

Ce que vous pouvez arrêter de faire

Les recommandations de sécurité modernes (dont celles du NIST) ont abandonné deux vieilles habitudes : les changements périodiques forcés (ils poussent les gens vers des variantes faibles et prévisibles) et les règles obligatoires de symboles/chiffres en substitut de la longueur. Changez un mot de passe quand il y a une raison — une fuite, un appareil partagé — pas selon le calendrier. Concentrez votre énergie sur la longueur, l'unicité et un gestionnaire de mots de passe, et vous serez devant l'écrasante majorité des comptes en ligne.

Plus sur Sécurité & confidentialité

Voir tous les guides Sécurité & confidentialité →

Outils mentionnés dans ce guide