En 2026, un mot de passe doit comporter au moins 15 caractères, et plus pour les données sensibles. Les recommandations modernes du NIST considèrent la longueur comme le facteur le plus important, avant les symboles obligatoires et la casse mixte. Visez 15 à 20 caractères ou une phrase de passe de quatre à cinq mots pour obtenir l'entropie qui contrecarre les attaques par force brute.
Pendant des années, les règles étaient « utilisez 8 caractères avec une majuscule, un chiffre et un symbole ». Ces conseils sont obsolètes et, par endroits, contre-productifs. Le consensus actuel des chercheurs en sécurité et du National Institute of Standards and Technology (NIST) américain est plus simple et plus fort : faites-le long. Ce guide explique pourquoi la longueur prime sur la complexité, les objectifs d'entropie à atteindre, et combien de temps il faut environ pour casser différents mots de passe.
Quelle doit être la longueur d'un mot de passe ? La réponse courte#
Le seuil pratique en 2026 est de 15 caractères. Les directives actuelles de NIST sur l'identité numérique recommandent que les systèmes autorisent des mots de passe d'au moins 64 caractères et vérifient un minimum de 8, mais les équipes de sécurité considèrent largement 15 comme le minimum réel pour un mot de passe fort, car chaque caractère supplémentaire multiplie le travail que doit effectuer un attaquant.
Voici la manière hiérarchisée d'y penser :
- Minimum acceptable : 12 caractères. Fonctionnel, mais de plus en plus considéré comme le bas de gamme.
- Par défaut fort : 15 à 16 caractères pour les comptes quotidiens.
- Comptes sensibles : 20 caractères ou plus pour les e-mails, les services bancaires, le gestionnaire de mots de passe et les connexions administrateur. Ce sont les clés de tout le reste.
La raison pour laquelle la longueur l'emporte est mécanique, pas une question d'opinion. Chaque caractère que vous ajoutez multiplie le nombre de combinaisons possibles qu'un attaquant doit tester. Nous allons quantifier cela ensuite avec l'entropie.
Pourquoi la longueur bat la complexité#
L'ancienne règle imposait la complexité : inclure une majuscule, un chiffre et un symbole. Le problème est que les humains satisfont ces règles de manière prévisible. « Password » devient « Password1! ». Le symbole forcé n'ajoute presque rien car les attaquants connaissent les schémas, et pire, les règles de complexité poussent les gens à créer des chaînes courtes et difficiles à retenir qu'ils réutilisent ensuite partout.
Le NIST a explicitement inversé cette tendance. Les directives actuelles disent de cesser d'imposer des règles de composition arbitraires (pas de mélange obligatoire de types de caractères) et d'arrêter les changements de mot de passe périodiques sauf en cas de preuve de compromission. Ces deux vieilles habitudes rendaient les mots de passe plus difficiles pour les humains sans les rendre significativement plus difficiles pour les ordinateurs.
La longueur fait l'inverse. Une phrase de passe longue comme correct-horse-battery-staple est facile à retenir pour vous et brutale à deviner pour une machine, car sa force vient du nombre pur de combinaisons, pas d'un $ que vous oublierez avoir ajouté.
Le changement en une phrase : une phrase de passe mémorable de 16 caractères bat une chaîne cryptique de 8 caractères sur tous les axes qui comptent, sécurité et utilisabilité.
Entropie : le nombre qui mesure vraiment la robustesse#
« Robustesse » reste vague tant qu'on ne lui donne pas un chiffre. Ce chiffre est l'entropie, mesurée en bits. L'entropie estime à quel point un mot de passe est imprévisible, et elle double à chaque bit supplémentaire. La formule pour un mot de passe généré aléatoirement est :
Entropie (bits) = longueur x log2(taille du jeu de caractères)
Le jeu de caractères correspond au nombre de symboles possibles pour chaque position :
- minuscules uniquement : 26
- minuscules + majuscules + chiffres : 62
- ajout de symboles courants : environ 95
En appliquant des valeurs réelles, le rôle de la longueur devient évident :
| Mot de passe | Jeu de caractères | Entropie (bits) |
|---|---|---|
| 8 caractères, lettres + chiffres | 62 | ~48 bits |
| 12 caractères, lettres + chiffres | 62 | ~71 bits |
| 15 caractères, lettres + chiffres | 62 | ~89 bits |
| 16 caractères, avec symboles | 95 | ~105 bits |
| Phrase de passe aléatoire de 4 mots | 7 776 mots | ~52 bits |
| Phrase de passe aléatoire de 5 mots | 7 776 mots | ~65 bits |
Les objectifs à viser :
- 60+ bits : un seuil raisonnable pour les comptes quotidiens. Un mot de passe alphanumérique aléatoire de 12 caractères l'atteint.
- 80+ bits : confortablement robuste. Un mot de passe alphanumérique aléatoire de 15 caractères se situe ici.
- 128 bits : le standard d'or pour les secrets de haute valeur, le niveau d'entropie utilisé dans les clés cryptographiques. Un mot de passe de 20 caractères avec un jeu mixte s'en approche.
Remarquez les lignes des phrases de passe. Une phrase de passe aléatoire de 4 mots (méthode Diceware, où les mots sont choisis par dés ou un générateur aléatoire sécurisé à partir d'une liste de 7 776 mots) se situe autour de 52 bits, et l'ajout d'un cinquième mot dépasse 65 bits. C'est pourquoi une longue phrase de passe est à la fois mémorisable et robuste, à condition que les mots soient choisis aléatoirement, et non tirés d'une chanson.
Longueur du mot de passe vs temps de craquage#
L'entropie est abstraite, voici donc ce qu'elle signifie en temps réel. Les chiffres ci-dessous supposent une attaque hors ligne contre une machine rapide avec accélération GPU, capable de deviner environ 100 milliards de candidats par seconde, un plafond réaliste pour le craquage d'une base de données de mots de passe faiblement hachés. (Les attaques en ligne contre un service en direct sont beaucoup plus lentes en raison des limites de débit.)
| Mot de passe | Entropie | Temps de craquage (attaque hors ligne rapide) |
|---|---|---|
| 8 caractères, lettres + chiffres | ~48 bits | Minutes |
| 12 caractères, lettres + chiffres | ~71 bits | Siècles |
| 15 caractères, lettres + chiffres | ~89 bits | Millions d'années |
| 16 caractères, avec symboles | ~105 bits | Efficacement éternel |
| Phrase de 4 mots aléatoires | ~52 bits | Heures |
| Phrase de 5 mots aléatoires | ~65 bits | De nombreuses années |
Observez le saut de 8 à 15 caractères. Ajouter sept caractères fait passer le temps de craquage de minutes à millions d'années, sur le même matériel. C'est tout l'argument en faveur de la longueur en une seule ligne. Un mot de passe de 8 caractères, même "complexe", n'est plus sûr face à un attaquant qui possède votre mot de passe haché hors ligne.
Deux mises en garde pour rester honnête :
- Ces temps supposent un mot de passe vraiment aléatoire. Un mot de passe de 15 caractères construit à partir d'un mot du dictionnaire plus une année est bien plus faible que sa longueur ne le suggère, car les attaquants devinent d'abord des motifs, pas des chaînes aléatoires.
- Les chiffres dépendent de la façon dont le site a stocké votre mot de passe. Un hachage lent et salé (bcrypt, Argon2) rend les attaques bien plus lentes que le plafond de hachage rapide ci-dessus. Vous ne contrôlez pas cela, ce qui est une raison de plus pour miser sur la longueur.
Vous pouvez voir en direct l'entropie et les estimations de temps de craquage pour n'importe quel candidat avec un vérificateur de force de mot de passe gratuit, le moyen le plus rapide de ressentir la différence entre 8 et 16 caractères.
Comment créer un mot de passe fort en 2026#
Vous avez deux bonnes options : une chaîne aléatoire générée par un générateur (meilleure, associée à un gestionnaire de mots de passe) ou une phrase de passe aléatoire (meilleure quand vous devez la mémoriser). Voici le processus dans les deux cas.
Étape 1 : Choisissez d'abord la longueur#
Décidez de la longueur en fonction de la valeur du compte : 15 à 16 caractères pour les connexions ordinaires, 20+ pour votre email, votre banque et votre gestionnaire de mots de passe. La longueur est le levier, alors fixez-la haut et laissez les autres choix suivre.
Étape 2 : Générez-le aléatoirement, ne l'inventez pas#
Les humains sont de mauvais générateurs de nombres aléatoires. Nous utilisons des noms, des dates et des motifs de clavier que les attaquants testent en premier. Utilisez un générateur de mots de passe gratuit pour produire une chaîne vraiment aléatoire de la longueur choisie. Pour les comptes que vous devez taper de mémoire, générez plutôt une phrase de passe de plusieurs mots, quatre mots minimum, cinq pour les connexions sensibles.
Étape 3 : Rendez chaque mot de passe unique#
La longueur ne protège un compte que si le mot de passe n'est pas réutilisé. Lorsqu'un site est piraté, les attaquants réutilisent cette même paire email-mot de passe contre les banques, les emails et les boutiques, une tactique appelée bourrage d'identifiants. Un mot de passe unique par site limite les dégâts à un seul compte. C'est impossible à faire de mémoire à grande échelle, d'où l'intérêt d'un gestionnaire de mots de passe.
Étape 4 : Stockez-les dans un gestionnaire et activez la 2FA#
Un gestionnaire de mots de passe génère, stocke et remplit automatiquement des mots de passe longs et uniques, vous n'avez donc à mémoriser qu'une seule phrase de passe maîtresse forte. Ajoutez ensuite l'authentification à deux facteurs (une application d'authentification ou une clé matérielle, pas de SMS si possible) sur vos comptes importants. Même un mot de passe parfait est plus fort avec un second facteur derrière.
Étape 5 : Vérifiez vos comptes par rapport aux fuites connues#
Un mot de passe long ne sert à rien s'il a déjà été exposé lors d'une fuite passée et se trouve maintenant sur une liste de mots. Vérifiez vos adresses email sur un service comme Have I Been Pwned, et changez tout mot de passe qui apparaît. À l'avenir, ne changez les mots de passe que lorsqu'il y a une raison de le faire, pas selon un cycle arbitraire de 90 jours que le NIST ne recommande plus.
Passphrase vs Mot de passe : lequel utiliser ?#
Les deux peuvent être forts. Le bon choix dépend de si une machine ou votre cerveau doit le retenir.
- Chaîne de caractères aléatoires (ex.
7vQ!pL2m@Rk9zXw4) : entropie maximale par caractère, idéal pour tout ce que votre gestionnaire de mots de passe remplit pour vous. Vous ne le tapez jamais, donc il n'a pas besoin d'être mémorisable. - Passphrase aléatoire (ex.
velvet-anchor-puzzle-cinder-flint) : entropie légèrement inférieure par caractère mais bien plus facile à mémoriser, idéale pour les quelques secrets que vous devez taper à la main, comme le mot de passe principal de votre gestionnaire de mots de passe ou celui de votre ordinateur.
L'erreur à éviter est le compromis : un mot de passe court et "astucieux" qui n'est ni assez aléatoire pour être fort ni assez long pour compenser. Quel que soit le style choisi, générez-le avec un générateur de mots de passe gratuit plutôt que de l'inventer, afin que le résultat soit vraiment aléatoire et non un schéma humain devinable. Pour en savoir plus sur la création d'identifiants incassables, consultez notre guide sur le générateur de mots de passe pour des mots de passe inviolables, et si vous travaillez aussi avec le hachage, notre générateur de hachage couvre le côté algorithmique.
Foire aux questions#
Quelle doit être la longueur d'un mot de passe en 2026 ? Au moins 15 caractères pour un mot de passe quotidien solide, et 20 ou plus pour les comptes sensibles comme les e-mails, les services bancaires et votre gestionnaire de mots de passe. Le NIST considère la longueur comme le facteur le plus important et ne recommande plus les règles de complexité forcée ni l'expiration systématique des mots de passe.
Un mot de passe de 12 caractères est-il encore sûr ? Un mot de passe de 12 caractères vraiment aléatoire est acceptable, avec environ 71 bits d'entropie qui résistent à la plupart des attaques. Mais 15 caractères est le seuil de sécurité par défaut en 2026, car chaque caractère supplémentaire multiplie le travail de l'attaquant, faisant passer le temps de craquage de siècles à des millions d'années face à du matériel hors ligne rapide.
La longueur ou la complexité est-elle plus importante pour un mot de passe ? La longueur. Ajouter des caractères augmente le nombre de combinaisons possibles bien plus rapidement que l'ajout d'un seul symbole, et les règles de complexité forcée poussent les utilisateurs vers des mots de passe courts, prévisibles et réutilisés. Une longue phrase de passe aléatoire surpasse une chaîne cryptique courte à la fois en sécurité et en mémorisation.
Qu'est-ce qu'une phrase de passe et est-elle plus forte qu'un mot de passe ? Une phrase de passe est une suite de plusieurs mots aléatoires, comme quatre ou cinq mots choisis par la méthode Diceware. Elle peut être très forte, environ 52 bits pour quatre mots et 65 bits ou plus pour cinq, tout en étant bien plus facile à retenir qu'une chaîne de caractères aléatoires. La force vient du caractère aléatoire des mots, pas d'une citation familière.
Comment la force d'un mot de passe est-elle réellement mesurée ? Par l'entropie, en bits, calculée comme la longueur multipliée par le logarithme en base 2 de la taille de l'ensemble de caractères. Plus de bits signifie plus d'imprévisibilité et un temps de craquage plus long. Visez 60 bits ou plus pour les comptes ordinaires et 128 bits pour les secrets de haute valeur. Un vérificateur de force de mot de passe affiche une estimation en direct.
Combien de temps faut-il pour craquer un mot de passe ? Cela dépend de la longueur, du caractère aléatoire et de la façon dont le site l'a stocké. Face à une attaque hors ligne rapide, un mot de passe de 8 caractères tombe en quelques minutes, tandis qu'un mot de passe aléatoire de 15 caractères prendrait des millions d'années. Les mots de passe basés sur un dictionnaire tombent bien plus vite que leur longueur ne le suggère, car les attaquants testent d'abord les motifs courants.
