Qu'est-ce qu'un bon mot de passe ?
Trois critères : long, imprévisible, unique par site. La longueur compte plus que la complexité — un mot de passe de 16 caractères en minuscules est plus fort qu'un mot de passe de 8 caractères avec majuscules, chiffres et symboles.
L'unicité est essentielle : si un site est piraté et que vous utilisez le même mot de passe ailleurs (credential stuffing), tous vos comptes tombent. C'est la fuite la plus fréquente.
Aléatoire vs mémorable
Mot de passe aléatoire : 16 caractères mélangés (minuscules, majuscules, chiffres, symboles) = ~95 bits d'entropie. Très fort. À stocker dans un gestionnaire (Bitwarden, 1Password, KeePass).
Passphrase mémorable : 4 mots français aléatoires séparés par des tirets (ex : soleil-pomme-route-tigre) = ~52 bits d'entropie pour dictionnaire de 7700 mots. Mémorisable. Idéal pour le mot de passe maître de votre gestionnaire de mots de passe (le seul que vous devez retenir).
Entropie : la mesure de la force
L'entropie mesure l'imprévisibilité d'un mot de passe en bits. Chaque bit double le nombre d'essais nécessaires pour le casser :
- 40 bits : faible, cassable en quelques heures à 10^11 essais/sec.
- 60 bits : correct, plusieurs années.
- 80 bits : fort, des millénaires.
- 100+ bits : très fort, des milliards d'années (incassable en pratique).
Utiliser un gestionnaire
Le seul moyen réaliste d'avoir un mot de passe unique par site : un gestionnaire de mots de passe. Vous ne mémorisez qu'un seul mot de passe maître (long, mémorable), et le gestionnaire stocke et autoremplit tous les autres.
- Bitwarden (open source, gratuit, recommandé)
- 1Password (premium, ergonomie excellente)
- KeePassXC (open source, base locale, sans cloud)
- Apple Keychain / Google Password Manager (intégrés, suffisants pour usage basique)
Activez la double authentification (2FA)
Même un mot de passe parfait ne protège pas du phishing ou d'une fuite de base de données. La 2FA ajoute une seconde couche : un code temporaire de 6 chiffres généré par une app, ou une clé physique.
Préférez : apps TOTP (Aegis, Authy, 2FAS), clés physiques (YubiKey, Solokey). Évitez : SMS (peuvent être interceptés via SIM swapping). Activez la 2FA sur email, banque, gestionnaire de mots de passe, réseaux sociaux.
Pièges courants
- Réutiliser le même mot de passe sur plusieurs sites — l'erreur la plus dangereuse.
- Substituer des lettres par des chiffres (P@ssw0rd) — connu de tous les outils de cassage.
- Inclure des informations personnelles (nom, date de naissance, animal de compagnie).
- Stocker dans un fichier texte non chiffré, dans les notes du téléphone, ou dans un email à soi-même.
- Changer son mot de passe tous les 3 mois sans raison : pousse à des mots de passe plus faibles.
Questions fréquentes
Le mot de passe est-il transmis ?
Non. Génération via crypto.getRandomValues() du navigateur. Rien n'est envoyé.
Quelle longueur recommandée ?
16 caractères aléatoires, ou 4 mots passphrase, ou 6+ chiffres pour PIN.
Aléatoire ou mémorable ?
Aléatoire = plus dense, à stocker dans gestionnaire. Mémorable = pour mot maître du gestionnaire.
Qu'est-ce que l'entropie ?
Imprévisibilité en bits. 60 = correct, 80 = fort, 100+ = très fort.
Changer régulièrement ?
Non, sauf fuite. Un bon mot de passe unique reste valide.
Et la 2FA ?
À activer partout. Apps TOTP ou clés physiques. Évitez SMS.
Sources
- ANSSI — Bonnes pratiques mot de passe (cyber.gouv.fr)
- NIST SP 800-63B — Digital Identity Guidelines
- EFF Diceware — Passphrase generation (eff.org/dice)
Outil indicatif. Vérifiez les recommandations spécifiques à chaque service (longueur min, caractères autorisés).