Un mot de passe fort fait au minimum 12 caractères, idéalement 14 à 16 pour vos comptes sensibles, ou prend la forme d'une phrase de passe d'au moins sept mots. La règle d'or : un mot de passe unique par compte, jamais réutilisé. L'ANSSI a abandonné le changement périodique systématique. Pour tenir le tout, un gestionnaire de mots de passe (comme KeePassXC, certifié par l'ANSSI) est la solution la plus sûre, complétée par la double authentification et, quand c'est possible, les clés d'accès.
Le mot de passe reste la première barrière entre vos comptes et les cybercriminels — et la plus attaquée. En 2025, les mots de passe volés figurent parmi les principales portes d'entrée des piratages, notamment via les logiciels malveillants qui aspirent les identifiants stockés dans les navigateurs. Pourtant, la majorité des internautes continuent d'utiliser des mots de passe trop courts, trop simples, ou répétés sur des dizaines de sites.
La bonne nouvelle : se protéger ne demande ni compétences techniques ni effort de mémoire surhumain. Quelques principes clairs, recommandés par l'ANSSI et cybermalveillance.gouv.fr, suffisent à élever radicalement votre niveau de sécurité. Ce guide explique ce qui fait un bon mot de passe en 2026, les erreurs qui ruinent vos efforts, pourquoi un gestionnaire de mots de passe change la donne, comment en choisir un, et comment aller plus loin avec la double authentification et les clés d'accès.
Pourquoi un mot de passe fort est indispensable
Un mot de passe faible se casse en quelques secondes. Les attaquants ne tentent pas vos identifiants à la main : ils utilisent des logiciels capables de tester des milliards de combinaisons par seconde (attaque par force brute) ou de comparer votre mot de passe à des listes de mots courants et de fuites précédentes (attaque par dictionnaire). Plus un mot de passe est court et prévisible, plus il tombe vite.
Le second danger, souvent sous-estimé, est la réutilisation. Quand un site que vous utilisez subit une fuite de données, vos identifiants se retrouvent en vente sur Internet. Les cybercriminels les testent alors automatiquement sur des centaines d'autres services — c'est ce qu'on appelle le credential stuffing. Si vous avez réutilisé le même mot de passe sur votre messagerie, votre banque et vos réseaux sociaux, une seule fuite suffit à compromettre l'ensemble.
Enfin, votre boîte e-mail mérite une attention particulière : elle sert à réinitialiser presque tous vos autres mots de passe. La sécuriser, c'est protéger toute votre vie numérique. Pour une vue d'ensemble des bons réflexes, consultez notre guide de la sécurité numérique.
Ce qui fait un bon mot de passe
Un bon mot de passe repose sur deux qualités : il est long et imprévisible. L'ANSSI et cybermalveillance.gouv.fr recommandent au minimum 12 caractères, et plutôt 14 à 16 pour les comptes les plus sensibles (messagerie principale, banque, impôts, comptes administrateurs). Plus c'est long, plus le nombre de combinaisons possibles explose, et plus une attaque par force brute devient irréaliste.
La longueur seule ne suffit pas : il faut aussi de la diversité. Mêlez majuscules, minuscules, chiffres et caractères spéciaux, et bannissez toute information personnelle (prénom, date de naissance, nom de l'animal, équipe favorite) qu'un attaquant pourrait deviner ou trouver sur vos réseaux sociaux.
La phrase de passe : longue et mémorisable
Pour concilier robustesse et mémoire, l'ANSSI met en avant la phrase de passe : un mot de passe composé de plusieurs mots, d'au moins sept mots. L'idée est de choisir des mots sans aucun lien logique entre eux, pour éviter qu'une attaque par dictionnaire ne devine la suite.
Plutôt qu'une suite imprononçable comme K7!vP2#zQ, choisissez une phrase de mots aléatoires : girafe-tiroir-orageux-banane-cuivre-violon-quai. Elle est bien plus longue, donc plus résistante, et pourtant plus facile à retenir. Vous pouvez y ajouter un chiffre et un caractère spécial pour la renforcer. Évitez absolument les citations, proverbes ou paroles de chanson, qui figurent dans les dictionnaires des attaquants.
Le principe non négociable, quelle que soit la méthode : un mot de passe différent pour chaque compte. C'est précisément là qu'un gestionnaire devient indispensable, car personne ne peut mémoriser des dizaines de phrases de passe uniques.
Les erreurs à éviter
Même un mot de passe long perd toute valeur si on l'accompagne de mauvaises habitudes. Voici les pièges les plus fréquents.
- Réutiliser le même mot de passe sur plusieurs sites : une seule fuite compromet tous vos comptes.
- Utiliser des mots de passe évidents :
123456,azerty,motdepasse, votre prénom ou votre date de naissance figurent en tête des listes testées par les attaquants. - Noter ses mots de passe sur un post-it, dans un fichier texte non chiffré ou dans les notes du téléphone.
- Enregistrer ses mots de passe dans le navigateur sans protection : les logiciels malveillants (infostealers) savent les y récupérer.
- Communiquer un mot de passe par e-mail, SMS ou téléphone : aucun service légitime ne vous le demandera jamais ainsi.
- Changer un seul caractère à chaque renouvellement (
Ete2025!puisEte2026!) : ces variantes sont prévisibles.
À l'inverse, une idée reçue est désormais écartée : le changement régulier et systématique du mot de passe n'est plus recommandé. L'ANSSI a abandonné cette consigne pour les comptes courants. Imposer un renouvellement tous les 90 jours pousse en effet les utilisateurs vers des variantes faibles et prévisibles, ce qui dégrade la sécurité au lieu de l'améliorer. Vous ne devez changer un mot de passe qu'en cas de doute : fuite de données du service, connexion suspecte, appareil potentiellement compromis ou mot de passe partagé.
Le gestionnaire de mots de passe
Si retenir un mot de passe unique, long et complexe pour chacun de vos comptes vous semble impossible, c'est normal — c'est même le but. La solution recommandée par l'ANSSI et cybermalveillance.gouv.fr est le gestionnaire de mots de passe.
Un gestionnaire est un coffre-fort numérique chiffré. Vous y stockez tous vos identifiants, et il les protège derrière un unique mot de passe maître. C'est désormais le seul mot de passe que vous avez à mémoriser : faites-en donc une phrase de passe particulièrement solide. Le gestionnaire peut aussi générer des mots de passe aléatoires très robustes à votre place et les remplir automatiquement sur les sites, ce qui supprime à la fois l'effort de mémoire et le risque de saisie sur un faux site.
Les avantages sont décisifs :
- Un mot de passe unique par compte, sans aucun effort de mémorisation.
- Des mots de passe longs et aléatoires, impossibles à deviner.
- Une synchronisation possible entre vos appareils (selon le gestionnaire choisi).
- Une alerte sur certains gestionnaires lorsqu'un de vos comptes apparaît dans une fuite connue.
Le seul point de vigilance est le mot de passe maître : s'il est faible ou perdu, tout le coffre est en jeu. Choisissez-le avec soin, ne le réutilisez nulle part ailleurs, et activez la double authentification sur le gestionnaire lui-même quand c'est possible.
Choisir un gestionnaire
Il existe plusieurs gestionnaires sérieux, gratuits ou payants, locaux ou synchronisés dans le cloud. Le bon choix dépend de vos usages, mais quelques repères aident à décider.
- KeePassXC est un gestionnaire libre, gratuit et hors ligne : vos mots de passe sont stockés dans un fichier chiffré sur vos appareils, sans passer par un serveur. Sa version 2.7.9 a été certifiée par l'ANSSI (CSPN) en novembre 2025, et l'agence l'a mis en avant dans ses communications sur la sécurité des mots de passe. C'est une excellente option pour qui veut garder la maîtrise complète de ses données. En contrepartie, la synchronisation entre appareils est à organiser soi-même.
- Bitwarden est un gestionnaire libre, avec une offre gratuite généreuse et une synchronisation cloud intégrée. Open source et audité régulièrement par des cabinets indépendants, il convient bien à qui veut un accès simple sur ordinateur et mobile. Il ne fait pas l'objet d'une certification ANSSI spécifique, mais répond à la plupart des critères de sécurité attendus.
Quelques critères pour trancher : préférez un gestionnaire open source et audité, vérifiez qu'il chiffre vos données de bout en bout, qu'il fonctionne sur tous vos appareils, et qu'il permet d'activer la double authentification. Méfiez-vous des gestionnaires obscurs ou des extensions de navigateur peu connues. Quel que soit votre choix, l'essentiel est d'en utiliser un : même imparfait, un gestionnaire vaut infiniment mieux que des mots de passe réutilisés.
Les navigateurs (Chrome, Firefox, Edge) proposent d'enregistrer vos mots de passe. C'est pratique, mais moins protecteur qu'un gestionnaire dédié : ces bases sont une cible privilégiée des logiciels voleurs d'identifiants. Si vous les utilisez, protégez impérativement votre session par un mot de passe d'appareil solide, et envisagez de migrer vers un gestionnaire dédié pour vos comptes sensibles.
Au-delà : 2FA et clés d'accès
Un mot de passe fort est essentiel, mais il ne fait pas tout. La couche de protection la plus efficace à ajouter est la double authentification (2FA, ou authentification multifacteur). Elle exige une seconde preuve au moment de la connexion — un code généré par une application, une validation sur votre téléphone ou une clé physique — en plus du mot de passe. Ainsi, même si votre mot de passe est volé, l'attaquant ne peut pas se connecter sans ce second facteur.
Privilégiez une application d'authentification (qui génère des codes temporaires) ou une clé de sécurité physique plutôt que les codes par SMS, plus exposés à l'interception. Pour activer et bien comprendre ce mécanisme, suivez notre guide dédié à la double authentification. De nombreux services grand public la proposent, à commencer par votre compte Google.
Les clés d'accès (passkeys)
L'évolution la plus prometteuse s'appelle la clé d'accès (passkey). Au lieu d'un mot de passe, votre appareil génère une paire de clés cryptographiques : une clé privée qui ne quitte jamais l'appareil, et une clé publique transmise au service. Vous vous authentifiez ensuite simplement par empreinte digitale, reconnaissance faciale ou code de déverrouillage de l'appareil.
L'intérêt majeur des clés d'accès est leur résistance à l'hameçonnage : comme il n'y a plus de mot de passe à saisir, il n'y a rien à voler ni à intercepter, et un faux site de connexion ne peut pas récupérer vos identifiants. Google, Apple et Microsoft déploient les clés d'accès sur leurs services, et de plus en plus de sites les acceptent.
En 2026, les clés d'accès ne remplacent pas encore tous les mots de passe : adoptez-les là où elles sont proposées, tout en conservant des mots de passe forts et un gestionnaire pour le reste de vos comptes. La transition est en cours, mais le mot de passe robuste reste, pour l'instant, le socle de votre sécurité.
Sources et références
- Cybermalveillance.gouv.fr — Pourquoi et comment bien gérer ses mots de passe
- Cybermalveillance.gouv.fr — Comment choisir un bon mot de passe
- ANSSI (cyber.gouv.fr) — Recommandations relatives à l'authentification multifacteur et aux mots de passe
- ANSSI — Rapport de certification CSPN KeePassXC (ANSSI-CSPN-2025/16)
- CNIL — Mots de passe : des recommandations de sécurité minimales
Questions fréquentes
Quelle longueur pour un mot de passe vraiment fort en 2026 ?
L'ANSSI et cybermalveillance.gouv.fr recommandent au minimum 12 caractères, et plutôt 14 à 16 pour vos comptes les plus sensibles (messagerie, banque, impôts). Au-delà du nombre de caractères, c'est la longueur combinée à l'imprévisibilité qui compte : un mot de passe court mais complexe est plus facile à casser qu'une phrase de passe longue. Pour les accès critiques, ne descendez jamais sous 12 caractères mêlant majuscules, minuscules, chiffres et caractères spéciaux, ou utilisez une phrase de passe d'au moins sept mots.
Faut-il changer son mot de passe régulièrement ?
Non, pas de façon systématique. L'ANSSI a abandonné la recommandation du renouvellement périodique imposé (tous les 90 jours, par exemple) pour les comptes personnels : forcer un changement régulier pousse les utilisateurs à choisir des variantes faibles et prévisibles, ce qui réduit la sécurité. Vous ne devez changer un mot de passe que si vous avez un doute sur sa confidentialité : fuite de données du service concerné, connexion suspecte, appareil compromis ou partage involontaire. Pour le reste, un mot de passe long, unique et bien protégé peut rester en place.
Un gestionnaire de mots de passe est-il vraiment sûr ?
Oui, c'est aujourd'hui la solution la plus sûre pour la plupart des gens. Un gestionnaire chiffre l'ensemble de vos mots de passe derrière un seul mot de passe maître, que vous êtes seul à connaître. Le risque de tout perdre est largement compensé par le fait de pouvoir utiliser un mot de passe différent, long et aléatoire pour chaque compte sans avoir à les mémoriser. KeePassXC, par exemple, a été certifié par l'ANSSI en 2025 (CSPN). La clé reste votre mot de passe maître : choisissez une phrase de passe solide et activez la double authentification sur le gestionnaire si elle est proposée.
Qu'est-ce qu'une phrase de passe et comment en créer une ?
Une phrase de passe est un mot de passe construit à partir de plusieurs mots, ce qui la rend à la fois longue et facile à retenir. L'ANSSI recommande un minimum de sept mots. Choisissez des mots sans lien logique entre eux (évitez une citation connue ou un proverbe), par exemple « girafe-tiroir-orageux-banane-cuivre-violon-quai ». Vous pouvez y ajouter des chiffres et des caractères spéciaux pour renforcer l'ensemble. L'avantage : une telle phrase est très longue, donc difficile à casser, tout en restant mémorisable, contrairement à une suite de caractères aléatoires.
Les clés d'accès (passkeys) vont-elles remplacer les mots de passe ?
À terme, c'est probable pour de nombreux services. Une clé d'accès (passkey) remplace le mot de passe par une paire de clés cryptographiques : la clé privée reste sur votre appareil et vous vous authentifiez par empreinte, reconnaissance faciale ou code de l'appareil. L'avantage majeur est la résistance à l'hameçonnage, car il n'y a plus de mot de passe à voler ni à saisir sur un faux site. Google, Apple et Microsoft les déploient déjà. En 2026, les mots de passe restent toutefois incontournables : adoptez les clés d'accès là où c'est possible, sans négliger vos autres mots de passe.
Articles similaires
Sécurité numérique : protéger ses comptes
Guide de sécurité numérique pour protéger ses comptes : mots de passe, double authentification, phishing, fraude bancaire et recours en cas de piratage.
2FA : l'authentification à deux facteurs
2FA : activez l'authentification à deux facteurs sur vos comptes. Méthodes (SMS, application TOTP, clé FIDO2, passkeys), risques et où l'activer en priorité.