Quelle longueur minimale pour un mot de passe en 2026 ?

Douze caractères constituent le plancher raisonnable pour un mot de passe stocké chez un service grand public. Quatorze à seize caractères deviennent la nouvelle norme à mesure que la puissance de calcul des attaquants progresse. La longueur compte davantage que la complexité brute : un mot de passe de seize caractères avec deux types de caractères différents résiste mieux qu'un mot de passe de huit caractères qui mélange tous les types possibles. La règle pratique consiste à allonger plutôt qu'à compliquer.

Pourquoi est-il dangereux d'utiliser le même mot de passe partout ?

Parce qu'une fuite de données chez un seul service compromet automatiquement tous les autres comptes qui partagent ce mot de passe. Les attaquants automatisent le test des combinaisons identifiant et mot de passe sur des dizaines de services dans les heures qui suivent une fuite. Cette technique, appelée credential stuffing, est responsable de la grande majorité des piratages observés sur les comptes courriel, bancaires et de réseaux sociaux. Un mot de passe différent par service compartimente le risque.

Un gestionnaire de mots de passe est-il vraiment sécuritaire ?

Les gestionnaires reconnus comme 1Password, Bitwarden ou Dashlane chiffrent localement la base de données avant de l'envoyer sur leurs serveurs. Cela signifie que l'éditeur lui-même ne peut pas lire les mots de passe stockés. Le seul élément à protéger devient le mot de passe maître, qui doit être long et mémorisé sans être inscrit nulle part. Le risque résiduel d'une fuite chez l'éditeur reste très inférieur au risque quotidien de réutiliser quelques mots de passe sur des dizaines de services.

Faut-il changer ses mots de passe régulièrement ?

La recommandation classique du changement périodique forcé a été abandonnée par la plupart des organismes de référence depuis 2017, dont le NIST américain. Forcer un changement tous les trois mois pousse les utilisateurs à choisir des variantes prévisibles du mot de passe précédent. La règle actuelle consiste à changer un mot de passe uniquement lorsqu'il existe une raison concrète : fuite signalée par le service, suspicion de compromission, partage involontaire.

Que faire si un de mes mots de passe a fuité ?

Premièrement, le changer immédiatement sur le service concerné, en choisissant un mot de passe entièrement différent et non une simple variation. Deuxièmement, le changer sur tous les autres services où le même mot de passe était utilisé, en commençant par la boîte courriel principale qui sert d'adresse de récupération. Troisièmement, activer la double authentification partout où elle est disponible. Le site haveibeenpwned.com permet de vérifier gratuitement si une adresse courriel apparaît dans une fuite de données connue.

Mot de passe fort 2026 : la méthode pour en créer un en 2 minutes

Q: Comment retenir un mot de passe complexe sans le noter ?

Deux méthodes éprouvées coexistent. La méthode phonétique transforme une phrase mémorisable en chaîne de caractères : la phrase j'ai acheté dix CD pour vingt dollars cet après-midi devient ght10CDp20Dcam. La méthode des premières lettres garde la première lettre de chaque mot d'une phrase et y ajoute chiffres et caractères : un tiens vaut mieux que deux tu l'auras devient 1tvmQ2tlA. Pour les comptes que l'on n'utilise pas tous les jours, le gestionnaire de mots de passe reste l'option la plus fiable.

Le mot de passe reste, en 2026, le maillon faible de la cybersécurité grand public. Ce guide pratique explique comment en fabriquer un qui résiste aux attaques par force brute, pourquoi la réutilisation d'un seul mot de passe sur plusieurs services est l'erreur la plus coûteuse du quotidien numérique, et comment un gestionnaire de mots de passe règle l'essentiel du problème en moins d'une heure de configuration.

Le mot de passe est devenu, à mesure que la vie quotidienne migrait vers les services en ligne, l’objet le plus banalement omniprésent du quotidien numérique. Boîte courriel, banque, réseaux sociaux, sites de commerce, services administratifs, plateformes de streaming : la moyenne d’un internaute occidental tourne autour de cent comptes protégés par mot de passe, avec une croissance annuelle d’environ dix pour cent. La plupart de ces comptes sont protégés par une douzaine de combinaisons réutilisées en boucle. C’est précisément ce que la rédaction propose de revoir ici.

Ce guide explique d’abord ce qui caractérise un mot de passe solide, ensuite pourquoi la réutilisation est l’erreur la plus coûteuse du grand public, puis comment fabriquer concrètement des combinaisons mémorisables, et enfin comment un gestionnaire de mots de passe règle structurellement la question.

Ce qui caractérise un mot de passe solide

Un bon mot de passe combine plusieurs propriétés simples mais cumulatives. La longueur prime largement sur la complexité brute. Douze à seize caractères constituent désormais la fourchette de référence pour un compte grand public. En deçà, une attaque par force brute menée avec une carte graphique moderne peut tester des milliards de combinaisons par seconde et trouver le mot de passe en quelques heures.

À cette longueur s’ajoute la diversité des caractères : minuscules, majuscules, chiffres, caractères spéciaux. Chaque catégorie supplémentaire multiplie le nombre de combinaisons possibles, et donc le temps que prendrait un attaquant pour les essayer toutes.

Pour fixer les idées, voici quelques exemples de durée estimée pour cracker un mot de passe avec du matériel grand public actuel :

bonjour : trouvé instantanément, présent dans tous les dictionnaires d’attaque.
bonjour1 : environ une minute, l’ajout d’un chiffre ne change presque rien.
Bon15jour : environ trois jours, la majuscule et les deux chiffres compliquent un peu la tâche.
Bon15$jour : environ cinq ans, l’ajout d’un caractère spécial fait basculer l’ordre de grandeur.
B0nj0ur1530$ : environ trente-quatre mille ans, la longueur combinée à la diversité rend l’attaque économiquement absurde.

Ce que ce barème démontre, ce n’est pas qu’il faut un mot de passe ultra-long, mais qu’il faut un mot de passe qui combine longueur et diversité. Au-delà d’un certain seuil, le coût de l’attaque dépasse de plusieurs ordres de grandeur la valeur du compte protégé. C’est l’objectif.

À cette construction technique s’ajoute une règle d’évidence souvent oubliée : un bon mot de passe ne contient ni mot complet du dictionnaire ni information personnelle. Date de naissance, prénom des enfants, nom de l’animal de compagnie, ville de naissance, plaque d’immatriculation : toutes ces données circulent sur les réseaux sociaux et sur les fuites publiques. Un attaquant qui cible une personne précise commence par les essayer en priorité.

La grande erreur : un mot de passe pour tout

C’est l’erreur la plus répandue du grand public, et la plus coûteuse. Voici une mise en situation concrète, malheureusement très fréquente.

Une personne utilise le même mot de passe pour son compte Facebook, son compte Amazon, son compte PayPal et sa boîte Gmail. Cette adresse Gmail sert également d’identifiant principal et d’adresse de récupération pour la plupart des autres services en ligne qu’elle utilise.

Un jour, par manque d’attention, elle est victime d’une attaque d’hameçonnage. Le scénario classique : un courriel ou un message direct sur un réseau social l’invite à se reconnecter à Facebook pour valider une opération anodine. La page de connexion qui s’affiche est une fausse, hébergée par un attaquant — une mécanique que la rédaction a documentée en détail dans son enquête sur la provenance des pages d’hameçonnage bancaire, où une page identique siphonne les identifiants en moins de soixante secondes.

Sans se méfier, la personne saisit son adresse courriel et son mot de passe. L’attaquant les enregistre. C’est le premier maillon — anodin en apparence, dévastateur en pratique.

Le second maillon est entièrement automatisé. L’attaquant alimente une base d’identifiants dans un robot qui teste la combinaison adresse courriel et mot de passe sur des dizaines de services connus : Amazon, PayPal, Gmail, Yahoo, Outlook, Apple ID, Microsoft Live, Netflix, Spotify, Uber, Airbnb. C’est ce qu’on appelle le credential stuffing. Si la même combinaison fonctionne ailleurs, le robot signale les comptes accessibles.

Dans notre mise en situation, la personne vient de donner accès à son compte Amazon, à son PayPal et à son Gmail en plus de son Facebook initial. Mais l’enchaînement va plus loin. Comme l’adresse Gmail sert d’adresse de récupération pour la plupart de ses autres comptes, l’attaquant peut décider non plus seulement d’accéder à ces comptes, mais d’en exclure entièrement la victime. La procédure est simple : déclencher une réinitialisation de mot de passe sur chaque service, capter le courriel de réinitialisation depuis le Gmail compromis, choisir un nouveau mot de passe, et le tour est joué.

À l’arrivée, la personne perd l’accès à plusieurs dizaines de comptes en quelques heures. La récupération prend des semaines, parfois des mois, et certaines plateformes ne disposent même pas de procédure pour reconquérir un compte dont l’adresse de récupération a été modifiée. Si, en revanche, la victime avait utilisé un mot de passe différent par service, l’attaque se serait arrêtée au compte Facebook initial. Le compartimentage des mots de passe est précisément conçu pour limiter l’impact d’une compromission unique.

Mains sur un clavier d'ordinateur portable avec un cadenas symbolique en surimpression et lignes de code floues en arrière-plan, illustration éditoriale de la sécurité par mot de passe

Comment fabriquer des mots de passe mémorisables

L’objection classique tombe alors : c’est facile à dire, mais comment retenir cent mots de passe différents ? Plusieurs méthodes éprouvées coexistent, à choisir selon les comptes concernés et leur fréquence d’usage.

La méthode phonétique consiste à transformer une phrase facile à mémoriser en chaîne de caractères en utilisant le son de chaque syllabe. La phrase « j’ai acheté dix CD pour vingt dollars cet après-midi » donne le mot de passe ght10CDp20Dcam. Treize caractères, mélange de minuscules, majuscules et chiffres, dérivés d’une phrase impossible à deviner pour un tiers.

La méthode des premières lettres garde la première lettre de chaque mot d’une phrase, en remplaçant certains mots par des chiffres ou des symboles. La phrase « un tiens vaut mieux que deux tu l’auras » donne 1tvmQ2tlA — neuf caractères, encore un peu courts, à allonger en y ajoutant un caractère spécial et la première lettre du nom du service concerné.

D’autres exemples de phrases sources, à transformer selon votre logique personnelle :

« Ma voiture rouillée a 7 ans » donne Mvra7a!.
« Deux verres de lait chaud avant le dodo » donne 2vdlcald!.
« J’ai un ordinateur portable qui est puissant » donne G1opqep!.

L’avantage de ces méthodes est double. Le mot de passe résultant est résistant aux attaques par dictionnaire, parce qu’il ne ressemble plus à un mot existant. Et il reste mémorisable, parce que la phrase source l’est. La règle d’or consiste à choisir des phrases qui n’ont aucun rapport avec votre identité publique : pas votre date de naissance, pas le prénom des enfants, pas le nom de votre animal.

Pour les comptes que vous utilisez tous les jours — boîte courriel principale, gestionnaire de mots de passe, banque — cette mémorisation directe reste pertinente. Pour les dizaines d’autres comptes, on passe à l’outil suivant.

Le gestionnaire de mots de passe : la solution structurelle

Un gestionnaire de mots de passe est une application qui stocke vos identifiants dans une base de données chiffrée localement. Concrètement, il fonctionne comme une voûte de coffre-fort numérique : un seul mot de passe maître donne accès à l’ensemble des identifiants stockés, et le gestionnaire remplit automatiquement les formulaires de connexion sur les sites web et applications.

Le bénéfice est immédiat. Vous pouvez générer pour chaque service un mot de passe de vingt-cinq caractères entièrement aléatoire — chiffres, lettres, symboles — sans avoir à le retenir. La connexion à chaque site se fait en deux clics. Si l’un des services subit une fuite, seul ce mot de passe est compromis ; tous les autres restent protégés.

Trois acteurs dominent le marché grand public en 2026 : 1Password, Bitwarden et Dashlane. Tous trois chiffrent la base localement avant de la synchroniser sur leurs serveurs, ce qui signifie que l’éditeur lui-même ne peut pas lire vos mots de passe. Bitwarden offre une formule gratuite généreuse pour un usage individuel ; 1Password et Dashlane sont payants à environ trois à quatre dollars canadiens par mois pour un compte individuel — soit une trentaine de dollars annuels qui constituent l’un des meilleurs ratios coût-bénéfice de la cybersécurité grand public.

À éviter résolument : les gestionnaires inconnus ou peu audités, dont le code n’a pas été vérifié par la communauté. Le risque de stocker l’ensemble de vos identifiants dans un produit dont la sécurité n’a pas été éprouvée n’a aucune commune mesure avec l’économie de quelques dollars par mois.

Le gestionnaire stocke également, en règle générale, des notes sécurisées (numéros de carte de crédit, codes d’accès, réponses à des questions de sécurité, photos de documents d’identité) qui bénéficient du même chiffrement que les mots de passe. Cette extension d’usage est l’une des raisons pour lesquelles le gestionnaire devient rapidement central dans la vie numérique de qui l’adopte.

Capture stylisée d'une interface de gestionnaire de mots de passe sur un écran de smartphone, fond éditorial sombre avec touches de couleur ambrée

Les fausses bonnes idées à abandonner

Plusieurs habitudes répandues offrent une illusion de protection sans en fournir réellement. Trois exemples illustrent les dérives à éviter.

Le carnet de notes papier laissé sur le comptoir. Au-delà de la perte ou du vol évident, ce dispositif présente une faille majeure : tout visiteur du domicile y a accès. L’inconvénient est aussi pratique — ces carnets deviennent rapidement illisibles, mélangent les anciens et les nouveaux mots de passe, et ne survivent pas à un dégât d’eau ou à un incendie.

Le document Word non protégé sur l’ordinateur. Ce n’est pas parce qu’un fichier réside sur votre disque dur qu’il est protégé. Un programme malveillant qui s’installe sur la machine peut lire tous les fichiers texte en quelques secondes ; un voleur d’ordinateur ouvre le fichier en deux clics. Si vous tenez à un fichier local, choisissez au minimum un format chiffré avec un mot de passe maître — ce qui revient, en pratique, à reconstruire un mauvais gestionnaire de mots de passe.

Le tableur synchronisé dans un service de cloud non chiffré côté client. Même si Google Drive ou Dropbox chiffrent les fichiers en transit et au repos, l’éditeur conserve la clé. En cas de compromission de votre compte chez ce service, l’ensemble des identifiants part avec. Un gestionnaire dédié, qui chiffre les données avant de les envoyer, n’a pas ce défaut. Cette logique de séparation des secrets recoupe d’ailleurs celle des comptes locaux Windows opposés aux comptes Microsoft synchronisés en ligne : moins on dépend d’un service externe pour ses identifiants, mieux on contrôle le périmètre d’exposition.

La double authentification : la couche complémentaire

Aucun mot de passe, même excellent, n’est invulnérable à toutes les attaques. La fuite chez le service lui-même, le partage involontaire, l’enregistreur de frappe installé sur un ordinateur compromis — autant de scénarios où le mot de passe peut tomber entre de mauvaises mains sans que la victime n’en soit immédiatement consciente.

La parade structurelle s’appelle la double authentification. Le principe : en plus du mot de passe, le service réclame une seconde preuve d’identité avant d’autoriser la connexion. Cette seconde preuve peut prendre plusieurs formes : code à six chiffres généré par une application dédiée comme Google Authenticator ou Authy, code reçu par SMS (moins sûr, mais largement répandu), notification d’approbation envoyée sur le téléphone, clé physique de type YubiKey pour les usages sensibles.

L’avantage est immédiat : même si un attaquant capture votre mot de passe, il ne peut pas se connecter sans le second facteur, qui réside sur un appareil physique distinct. Activer la double authentification sur la boîte courriel principale, sur le gestionnaire de mots de passe lui-même, sur la banque en ligne et sur les principaux réseaux sociaux constitue le geste le plus rentable en cybersécurité grand public — quelques minutes de configuration pour des années de protection supplémentaire.

Synthèse : la pile à mettre en place

Pour un internaute prudent en 2026, la pile recommandée tient en cinq couches.

Un mot de passe maître long, mémorisé, jamais réutilisé ailleurs, gardant accès au gestionnaire.
Un gestionnaire de mots de passe réputé qui stocke tous les autres identifiants en mots de passe générés et différents par service.
La double authentification activée sur les comptes critiques — boîte courriel, gestionnaire, banque, réseaux sociaux principaux.
Une vérification périodique sur haveibeenpwned.com de l’apparition de votre adresse courriel dans des fuites publiques, avec changement immédiat des mots de passe concernés.
Une hygiène simple au quotidien : ne pas saisir d’identifiants sur un lien reçu par message, vérifier l’adresse exacte du site avant de se connecter, refuser les réseaux Wi-Fi publics pour les opérations sensibles.

L’investissement initial — choisir un gestionnaire, importer ses identifiants existants, activer la double authentification sur dix services — prend une à deux heures. Le bénéfice est durable : la grande majorité des fraudes courantes — credential stuffing, hameçonnage, prise de contrôle de compte — perdent leur point d’entrée principal.

Le mot de passe ne disparaîtra pas du jour au lendemain. Les passkeys, plus modernes, gagnent du terrain mais n’ont pas encore d’écosystème universel. En attendant cette transition, savoir fabriquer des mots de passe solides et les organiser correctement reste l’une des compétences numériques les plus utiles à acquérir une fois pour toutes. Pour aller plus loin, la rédaction a publié le guide complet des gestionnaires de mots de passe et des passkeys 2026 — comparatif des outils, étapes de migration et conseils pour activer les passkeys sur les principaux services. La rédaction recommande aussi le guide pratique de sauvegarde de JeSauvegardeMesDocuments qui détaille les méthodes pour protéger les exports de coffres et la stratégie 3-2-1.

Les estimations de durée de cracking citées dans cet article sont indicatives et reposent sur du matériel grand public récent (cartes graphiques de classe RTX). Avec du matériel professionnel, les durées sont plus courtes mais les ordres de grandeur restent valides. La rédaction a calculé ces exemples avec l’outil security.org/how-secure-is-my-password, accessible librement.

Le fameux mot de passe : comment en fabriquer un qui résiste aux attaques