Pour créer un mot de passe fort, rendez-le long et imprévisible : visez au moins 16 caractères, ou une phrase de passe aléatoire de quatre à six mots, générée par un outil plutôt que par votre cerveau. La longueur l'emporte sur le mélange de symboles car chaque caractère supplémentaire multiplie le temps nécessaire à un attaquant pour le craquer. Le conseil donné il y a dix ans (une majuscule, un chiffre, un symbole, huit caractères) est désormais exactement le type de mot de passe que les machines devinent le plus rapidement.
Ce guide vous montre comment créer un mot de passe fort comme le font les ingénieurs en sécurité en 2026, et il présente les calculs pour que vous compreniez pourquoi. Vous apprendrez ce qui rend un mot de passe vraiment difficile à craquer, comment fonctionnent l'entropie et le temps de craquage, pourquoi une phrase de passe mémorisable peut battre une chaîne aléatoire que vous ne pouvez pas retenir, et comment générer des mots de passe incassables dans votre navigateur sans confier vos secrets à un serveur.
Qu'est-ce qui rend un mot de passe fort en 2026#
Un mot de passe fort est un mot de passe qu'un attaquant ne peut pas deviner, retrouver ou forcer par brute-force en un temps raisonnable. Trois éléments le déterminent : sa longueur, son caractère aléatoire et s'il a déjà fuité. Tout le reste (mélanger des symboles, remplacer E par 3, ajouter un "!" à la fin) relève surtout du théâtre.
La raison est simple. Les attaquants ne s'assoient pas devant un écran de connexion pour taper des suppositions. Ils volent une base de données de mots de passe hachés et exécutent des milliards de suppositions par seconde hors ligne. Face à une telle puissance, les seules défenses qui comptent sont l'imprévisibilité brute et la longueur.
Voici ce qui distingue un mot de passe fort d'un mot de passe faible :
- Longueur. Plus de caractères signifie exponentiellement plus de combinaisons. C'est le levier le plus important.
- Aléatoire (entropie). Un mot de passe choisi par un humain suit des schémas. Un mot de passe généré aléatoirement, non. Les logiciels de craquage sont conçus pour exploiter ces schémas.
- Unicité. Un mot de passe réutilisé sur plusieurs sites est aussi sûr que le site le moins sécurisé qui le détient. Une seule fuite compromet tous les comptes.
- Non compromis auparavant. Des milliards de mots de passe réels ont fuité. Si le vôtre figure sur une liste, sa force est nulle, quelle que soit son apparence.
Vérification rapide : "P@ssw0rd!" satisfait presque toutes les règles classiques de complexité (majuscule, minuscule, chiffre, symbole) et fait partie des premiers mots de passe que tout dictionnaire de craquage essaie. Les règles de complexité ne garantissent pas la force.
Longueur vs Complexité : pourquoi la longueur l'emporte#
Voici la partie que la plupart des guides sur les mots de passe se trompent, donc voici la preuve plutôt que le simple slogan. La force d'un mot de passe se mesure en entropie, exprimée en bits. Chaque bit double le nombre de mots de passe possibles qu'un attaquant doit essayer. La formule est simple :
entropie (bits) = longueur × log2(taille du pool de caractères)
Le pool de caractères correspond au nombre de caractères possibles pour chaque position. Uniquement minuscules : 26. Ajoutez les majuscules : 52. Ajoutez les chiffres : 62. Ajoutez les symboles courants : environ 95.
Observez ce qui se passe quand vous échangez la complexité contre la longueur. Comparez deux mots de passe :
| Style de mot de passe | Longueur | Pool | Entropie approximative | Notes |
|---|---|---|---|---|
Tr0ub4d! | 8 | 95 (tous types) | ~52 bits | Le classique mot de passe complexe de 8 caractères |
correcthorsebatterystaple | 25 | 26 (minuscules) | ~117 bits si mots aléatoires | Bien plus fort malgré zéro symbole |
Le mot de passe "complexe" perd largement. La longueur est multipliée sur l'ensemble du mot de passe, donc ajouter des caractères fait croître l'entropie bien plus vite que l'extension du pool de caractères ne le pourra jamais. Doubler votre longueur double approximativement vos bits. Ajouter un jeu de symboles à un mot de passe court ne change presque rien.
La règle pratique#
Arrêtez d'optimiser la mauvaise variable. Un mot de passe aléatoire de 12 caractères convient pour les comptes à faible enjeu. Un mot de passe aléatoire de 16 caractères est un bon défaut. Pour tout ce qui compte (email, banque, votre gestionnaire de mots de passe), optez pour plus long ou utilisez une phrase de passe. Le mélange de caractères est secondaire par rapport à la longueur.
C'est aussi pourquoi un générateur de mots de passe aléatoires qui vous permet d'augmenter la longueur à 20, 30 ou 40 caractères bat n'importe quelle règle "rendez-le complexe". La machine ne se lasse pas de taper, et votre gestionnaire de mots de passe s'en souvient pour vous, donc la longueur ne vous coûte rien.
L'entropie et le temps de cassage (en français simple)#
Les gens disent « ce mot de passe mettrait un milliard d'années à être cassé » sans montrer d'où vient le chiffre. Voici la version honnête, présentée sous forme de fourchettes car la vitesse réelle de cassage dépend du matériel et de l'algorithme de hachage.
La vitesse d'un attaquant se mesure en suppositions par seconde. Un seul GPU moderne peut tenter des milliards de suppositions par seconde contre un hachage rapide comme MD5 ou SHA-1 non salé. Un attaquant bien financé avec une batterie de GPU peut atteindre des billions. Contre un hachage lent et correctement salé (bcrypt, Argon2), ce même matériel ne gère que des milliers ou dizaines de milliers de suppositions par seconde, ce qui explique exactement pourquoi ces algorithmes existent.
Le nombre moyen de suppositions pour casser un mot de passe est la moitié de l'espace total des clés, et cet espace est 2 élevé à l'entropie en bits. Le temps de cassage évolue donc ainsi :
| Entropie | Combinaisons totales | Temps à 1 billion de suppositions/s (hachage rapide) |
|---|---|---|
| 40 bits | ~1 billion | Environ 1 seconde |
| 60 bits | ~1,15 quintillion | Jours à semaines |
| 80 bits | ~1,2 septillion | Dizaines de milliers d'années |
| 100+ bits | astronomiquement grand | Incassable à l'échelle humaine |
Quelques mises en garde honnêtes pour rester réaliste, pas du marketing :
- Ces chiffres supposent que l'attaquant ne connaît pas déjà le mot de passe via une fuite. Un mot de passe compromis se casse en millisecondes, quelle que soit son entropie.
- Un hachage lent (bcrypt, Argon2) rend chaque ligne de ce tableau considérablement plus lente pour l'attaquant, ce qui est bon pour vous mais hors de votre contrôle.
- La colonne « 1 billion de suppositions/s » correspond approximativement au pire cas réaliste pour un attaquant haut de gamme contre un hachage rapide et mal protégé. La plupart des cibles réelles sont plus lentes.
La conclusion pratique est la suivante : autour de 70 à 80 bits d'entropie, un mot de passe cesse d'être cassable par force brute pour tout attaquant réaliste. Votre travail est d'atteindre ce seuil, et vous l'atteignez le plus facilement avec la longueur.
Attention : l'entropie ne compte que si le caractère aléatoire est réel. Si vous choisissez vous-même les mots ou les caractères, vous injectez des motifs qui réduisent l'entropie effective bien en dessous des calculs ci-dessus. Laissez toujours un générateur faire le choix.
Comment créer un mot de passe fort étape par étape#
Vous avez deux bonnes options : une chaîne de caractères aléatoire ou une phrase de passe aléatoire. Les deux fonctionnent. Choisissez la phrase de passe lorsque vous devez mémoriser le mot de passe (votre mot de passe maître, votre connexion à l'appareil). Choisissez la chaîne aléatoire lorsqu'un gestionnaire de mots de passe le stockera et que vous ne le taperez jamais à la main.
Étape 1 : Décidez si vous devez le retenir#
Si un gestionnaire de mots de passe conserve le mot de passe et le remplit automatiquement, vous n'avez jamais à le retenir, utilisez donc une longue chaîne aléatoire. Si vous devez le taper de mémoire (le mot de passe qui déverrouille votre gestionnaire de mots de passe, votre connexion à l'ordinateur portable, un code PIN d'appareil que vous ne pouvez stocker nulle part), utilisez une phrase de passe. La mémorisation et la sécurité ne sont pas ennemies une fois que vous choisissez le bon outil pour chaque tâche.
Étape 2 : Utilisez un générateur, jamais votre imagination#
Les humains sont de terribles générateurs de nombres aléatoires. Nous utilisons des anniversaires, des noms d'animaux, des parcours clavier (qwerty, 1q2w3e) et les mêmes trois substitutions "astucieuses" que tout le monde utilise. Les dictionnaires de craquage sont construits à partir de ces habitudes humaines. Ouvrez un générateur de mots de passe sécurisé et laissez-le produire l'aléatoire pour vous. Un bon générateur fonctionne entièrement dans votre navigateur, donc le secret généré ne voyage jamais vers un serveur.
Étape 3 : Définissez une longueur d'au moins 16 caractères (ou 4 à 6 mots)#
Pour une chaîne aléatoire, 16 caractères est un minimum solide et 20 et plus est mieux pour les comptes de grande valeur. Pour une phrase de passe, quatre mots est le minimum pratique et cinq ou six mots est confortablement incassable lorsque les mots sont choisis aléatoirement dans une grande liste. Exemple de phrase de passe générée aléatoirement : harvest-quartz-meadow-tunnel-blaze. Cinq mots sans lien, faciles à visualiser, très difficiles à deviner.
Étape 4 : Rendez-le unique pour ce seul compte#
Générez un mot de passe frais pour chaque compte. Ne recyclez jamais. La réutilisation est la faiblesse la plus exploitée sur Internet, car les attaquants prennent des identifiants divulgués d'un site piraté et les rejouent partout ailleurs (une attaque appelée bourrage d'identifiants). Un mot de passe unique par site signifie qu'une fuite reste confinée à un seul compte.
Étape 5 : Vérifiez sa force avant de l'enregistrer#
Avant de le sauvegarder, faites un test de cohérence. Collez-le dans un vérificateur de force de mot de passe pour voir l'entropie estimée et le temps de craquage, et pour confirmer qu'il ne se trouve pas dans une liste de fuites connues. Un mot de passe généré devrait obtenir un score très élevé, mais la vérification détecte aussi le cas où vous l'avez modifié à la main et avez accidentellement transformé un mot de passe fort en un mot de passe devinable.
Étape 6 : Stockez-le dans un gestionnaire de mots de passe et ajoutez la 2FA#
Enregistrez le mot de passe dans un gestionnaire de mots de passe réputé afin de ne mémoriser qu'une seule phrase de passe maîtresse forte. Puis activez l'authentification à deux facteurs (2FA) sur chaque compte qui la prend en charge. Même un mot de passe parfait peut fuir ; la 2FA signifie qu'un mot de passe volé seul ne suffit pas pour entrer.
Passphrases : des mots de passe forts que vous pouvez vraiment retenir#
Une passphrase est une suite de plusieurs mots aléatoires assemblés. C'est la meilleure solution au problème « sécurisé mais mémorisable ». Cela fonctionne car vous ne mémorisez pas 25 caractères aléatoires, mais une poignée de mots, tandis que l'entropie provient du nombre de mots possibles pour chaque emplacement.
La méthode éprouvée est le Diceware : vous lancez des dés pour choisir des mots dans une grande liste standardisée (la liste EFF contient 7 776 mots). Chaque mot choisi aléatoirement ajoute environ 12,9 bits d'entropie. Le calcul est clair :
- 4 mots : environ 51 bits (correct, acceptable pour des usages peu sensibles)
- 5 mots : environ 64 bits (fort)
- 6 mots : environ 77 bits (excellent, niveau mot de passe maître)
- 7 mots : environ 90 bits (excessif pour presque tout le monde)
Les deux règles qui font ou défont une passphrase :
- Les mots doivent être choisis aléatoirement, pas par vous. « MonChienAimeLaPizza » est quatre mots et presque sans entropie, car un humain a choisi une phrase significative.
vivid-anchor-pelican-rhubarbest quatre mots qu'un générateur a choisis parmi des milliers, et c'est là que réside la force. - Ne la « corrigez » pas pour qu'elle ressemble à un mot de passe. Ajouter
123!à la fin n'aide guère et rend la mémorisation plus difficile. Le caractère aléatoire du choix des mots fait tout le travail.
Une passphrase aléatoire de quatre à six mots est aussi forte qu'une longue chaîne aléatoire, tout en étant bien plus facile à taper et à retenir. C'est pourquoi les équipes de sécurité la recommandent désormais pour les un ou deux mots de passe que vous devez garder en tête.
Ce que recommande vraiment la NIST aujourd'hui#
Le plus grand changement dans les recommandations de mots de passe vient de la NIST, l'organisme de normalisation américain dont les avis façonnent la façon dont les organisations sérieuses conçoivent leurs systèmes de connexion. Les recommandations 2024-2025 (dans la famille SP 800-63) ont renversé une grande partie des vieux mythes. Si votre service informatique applique encore les anciennes règles, voici pourquoi elles sont obsolètes.
Ce que dit la NIST maintenant :
- La longueur est prioritaire. Autorisez les mots de passe longs (au moins 64 caractères) et encouragez la longueur plutôt que les règles de composition.
- Supprimez les règles de complexité obligatoires. Forcer une majuscule, un chiffre et un symbole n'améliore pas mesurablement la sécurité et pousse les gens vers des schémas prévisibles comme
Password1!. - Arrêtez de forcer les réinitialisations périodiques. L'expiration systématique tous les 90 jours affaiblit les mots de passe, car les gens font de petits changements prévisibles (
Printemps2025devientÉté2025). Ne forcez une réinitialisation qu'en cas de preuve de compromission. - Filtrez les mots de passe issus de fuites. Bloquez les mots de passe connus pour avoir fuité, ce qui est bien plus important que n'importe quelle règle de complexité.
- Autorisez tous les caractères, y compris les espaces et les emojis. Des ensembles plus grands, sans restrictions arbitraires.
Le fil conducteur est le même que celui de ce guide : l'imprévisibilité et la longueur l'emportent sur le théâtre de la complexité. La NIST a rattrapé ce que les calculs d'entropie montraient depuis toujours.
| Anciens conseils (mythes d'avant 2020) | Ce que recommande la NIST maintenant |
|---|---|
| 8 caractères minimum | Mots de passe longs, 16+ en pratique |
| Doit inclure majuscule, minuscule, chiffre, symbole | Règles de composition supprimées |
| Changer tous les 90 jours | Changer uniquement sur preuve de compromission |
| Questions de sécurité comme secours | Utiliser plutôt l'authentification à deux facteurs |
| Bloquer le collage de mots de passe | Autoriser le collage pour que les gestionnaires fonctionnent |
Erreurs courantes à éviter avec les mots de passe forts#
Même les personnes qui connaissent les règles tombent dans les mêmes pièges. Surveillez ces points.
- Réutiliser un seul mot de passe « fort » partout. Un chef-d'œuvre de 20 caractères réutilisé sur dix sites est à une seule fuite de la compromission totale. La force ne survit pas à la réutilisation.
- Des motifs prévisibles dans un mot de passe long.
Summer2025Summer2025est long mais trivialement devinable. La longueur n'aide que lorsqu'elle est aléatoire. - Le leetspeak comme mesure de sécurité.
P@$$w0rdn'est pas significativement plus dur à craquer quepassword. Les outils de craquage appliquent ces substitutions automatiquement. - Baser le mot de passe sur des informations personnelles. Noms, anniversaires, votre rue, votre équipe. Tout cela est récupérable sur les réseaux sociaux et essayé en premier.
- Faire confiance au générateur d'un site inconnu. Si un générateur de mots de passe envoie votre nouveau mot de passe à son serveur, vous confiez un secret à des inconnus. Préférez un générateur qui fonctionne localement dans votre navigateur.
- Ignorer la 2FA parce que le mot de passe est « assez fort ». Aucun mot de passe n'est à l'abri d'une fuite. L'authentification à deux facteurs est le filet de sécurité qui rend un mot de passe volé inutile tout seul.
Conclusion : Comment créer un mot de passe fort de la bonne manière#
Voici l'essentiel en un souffle. Pour créer un mot de passe fort, arrêtez d'essayer d'être malin et faites confiance à la longueur combinée à un vrai hasard. Utilisez un générateur. Visez 16 caractères aléatoires ou plus quand un gestionnaire le stockera, ou une phrase de passe aléatoire de quatre à six mots quand vous devez la retenir. Rendez chaque mot de passe unique, vérifiez-le dans les listes de fuites, et ajoutez la 2FA par-dessus.
Cette approche atteint les 70 à 80 bits d'entropie où le brute force cesse d'être une menace pratique, tout en gardant les un ou deux mots de passe que vous devez mémoriser vraiment mémorables. Générez-en un maintenant avec le générateur de mots de passe gratuit, confirmez sa force avec le vérificateur de force de mot de passe, et si vous voulez approfondir la question de la longueur, notre analyse de la longueur idéale d'un mot de passe en 2026 détaille les chiffres compte par compte.
Foire aux questions#
Quelle doit être la longueur d'un mot de passe fort ? Pour un mot de passe aléatoire stocké dans un gestionnaire, 16 caractères constituent un bon minimum et 20 ou plus est préférable pour les comptes à haute valeur comme les emails et les banques. Pour une phrase de passe que vous mémorisez, quatre à six mots choisis aléatoirement suffisent. La longueur est bien plus importante que la variété des caractères, car chaque caractère supplémentaire multiplie exponentiellement le travail de l'attaquant.
Une phrase de passe est-elle vraiment aussi forte qu'un mot de passe aléatoire ? Oui, lorsque les mots sont choisis aléatoirement par un générateur plutôt que par vous. Une phrase de passe aléatoire de cinq mots possède environ 64 bits d'entropie, ce qui est incassable par force brute, tout en restant facile à retenir. Le piège est que les phrases significatives choisies par l'humain comme "JeAimeMonChien2025" n'ont presque aucune entropie et ne doivent jamais être utilisées.
Pourquoi la longueur est-elle plus importante que l'ajout de symboles ? Parce que la longueur se multiplie sur l'ensemble du mot de passe alors que le pool de caractères ne le fait pas. Ajouter un type de symbole élargit le nombre de caractères possibles pour chaque position, mais ajouter plus de caractères multiplie les combinaisons totales de nombreuses fois. Le calcul d'entropie montre qu'un long mot de passe en minuscules bat un mot de passe "complexe" court avec majuscules, chiffres et symboles.
Dois-je changer mes mots de passe tous les quelques mois ? Non. Les recommandations actuelles du NIST déconseillent l'expiration systématique des mots de passe car cela pousse les gens à des variations prévisibles comme changer un chiffre à la fin. Ne changez un mot de passe que s'il y a des preuves qu'il a été compromis, comme une notification de fuite. Un mot de passe fort et unique ne s'affaiblit pas en restant inutilisé.
Les générateurs de mots de passe en ligne sont-ils sûrs ? Ils sont sûrs si le générateur fonctionne entièrement dans votre navigateur et ne transmet jamais le mot de passe à un serveur. Un générateur côté client calcule les caractères aléatoires localement, donc le secret ne quitte jamais votre appareil. Évitez tout outil qui envoie votre nouveau mot de passe sur le réseau et vérifiez le résultat dans un vérificateur de robustesse avant de l'enregistrer.
Quel est le mot de passe le plus fort que je puisse créer ? Le mot de passe pratique le plus fort est une chaîne longue et totalement aléatoire (20 caractères ou plus issus d'un large pool) ou une phrase de passe aléatoire de six mots, tous deux produits par un générateur plutôt que par votre imagination. Au-delà d'environ 80 bits d'entropie, la force brute devient impossible dans toute échelle de temps humaine, donc une longueur supplémentaire est excessive. Les risques plus importants à ce stade sont la réutilisation, le phishing et les fuites, c'est pourquoi l'unicité et la 2FA comptent autant que le mot de passe lui-même.
