Entre les fuites de données, le phishing et les attaques automatisées, le mot de passe reste souvent la première porte d’entrée vers vos comptes. Et comme beaucoup de piratages ne reposent pas sur un “génie du hacking” mais sur des essais massifs et des listes de mots de passe déjà compromis, la vraie différence se joue sur des règles simples, appliquées avec régularité. L’objectif de cette page est très concret : comprendre ce qu’est un mot de passe fort, connaître des règles faciles à suivre, voir des exemples (bons et mauvais), repérer les erreurs psychologiques classiques, puis apprendre à vérifier la robustesse sans se mettre en danger.
Qu’est-ce qu’un mot de passe fort ?
Définition d’un mot de passe fort
Un mot de passe fort est un secret difficile à deviner et difficile à retrouver, même si quelqu’un connaît une partie de votre vie, et même si une machine teste des millions (ou bien plus) de combinaisons. Dans la pratique, on retient trois idées qui reviennent dans les recommandations de référence :
- Long : la longueur est un facteur majeur de résistance, surtout face aux attaques par force brute.
- Aléatoire ou imprévisible : pas de structure évidente, pas de “mot + 123 + !” qui se devine.
- Unique : un mot de passe différent par service, pour éviter l’effet domino en cas de fuite. C’est un point martelé par la CISA. cisa.gov
L’importance de la robustesse face aux cyberattaques
Deux scénarios expliquent pourquoi “un mot de passe pas terrible” devient vite un gros problème :
- Attaques en ligne : l’attaquant tente de se connecter sur un site en essayant des combinaisons. Les services sérieux limitent les essais, mais les mots de passe trop simples restent vulnérables.
- Attaques hors ligne : après une fuite de base de données (avec des mots de passe hachés), l’attaquant peut tester énormément de variantes sans être ralenti par un site. Le NIST insiste sur cette différence entre attaques en ligne et hors ligne, et sur l’intérêt de laisser les utilisateurs choisir des secrets longs, y compris avec des espaces, tout en combinant cela avec de bonnes pratiques côté service (hachage, salage, etc.). pages.nist.gov
Traduction simple : si votre mot de passe est court, courant, ou réutilisé, vous vous exposez à des attaques automatisées qui ne “pensent” pas, elles testent.
Les règles simples pour choisir un mot de passe solide
Longueur minimale et caractères indispensables
Si je devais garder une seule règle : visez long. Le NIST, dans ses contenus pédagogiques récents, recommande des mots de passe d’au moins 15 caractères et met en avant l’approche “phrase de passe” (passphrase) comme solution mémorisable. nist.gov
Côté recommandations françaises, la CNIL raisonne en termes d’entropie (imprévisibilité) et donne des exemples de politiques équivalentes, dont des phrases de passe d’au moins 7 mots. cnil.fr
Concernant les “caractères indispensables”, il y a un point contre-intuitif : le NIST explique qu’il ne recommande plus d’imposer systématiquement des règles de composition (obliger une majuscule, un chiffre, un symbole), car ces contraintes poussent souvent à des schémas prévisibles. nist.gov
Dans la vraie vie, beaucoup de sites continuent d’exiger chiffres, majuscules et symboles. Mon conseil est pragmatique : mettez la longueur au centre, puis ajoutez de la variété si cela ne vous conduit pas à un motif caricatural (du type “MotDePasse2026!”).
- Si le site accepte les espaces, une phrase de passe devient très efficace et simple à retenir. pages.nist.gov
- Si le site refuse les espaces, collez les mots, ou remplacez l’espace par un séparateur moins banal, mais sans tomber dans un automatisme. cisa.gov
Éviter les éléments évidents et personnels
Un mot de passe peut être long et rester facile à deviner si son contenu colle à votre identité. Il faut éviter :
- prénoms, dates de naissance, ville, équipe, pseudo, nom d’animal, école, entreprise, domaine du site ;
- citations et paroles connues, parce que les attaquants testent aussi ce type de contenus, y compris via des dictionnaires et des listes. cisa.gov
L’idée n’est pas de vivre dans la paranoïa. C’est juste d’arrêter de donner des “indices gratuits”, surtout quand une partie de votre vie est publique (réseaux sociaux, bio, photos, posts, commentaires).
Exemples concrets de mots de passe forts (à ne pas utiliser tels quels !)
Bons exemples et pourquoi ils fonctionnent
Les exemples ci-dessous servent à illustrer des formes solides. Ne les réutilisez pas : s’ils sont publiés quelque part, ils perdent instantanément en valeur.
- Phrase de passe de mots sans lien : “tulipe moteur canyon sardine vélum pixel”
Pourquoi ça marche : c’est long, mémorisable, et les mots ne racontent pas votre vie. L’approche “plusieurs mots” est explicitement recommandée comme alternative pratique par la CISA. cisa.gov - Phrase avec espaces si autorisés : “lune brique armoire avion carton hiver”
Pourquoi ça marche : les espaces ajoutent de la longueur et améliorent la mémorisation, et la CISA indique que les espaces peuvent être utilisés dans une passphrase si on le souhaite. cisa.gov - Chaîne aléatoire gérée par un gestionnaire : une suite de caractères sans logique apparente (le type de mot de passe que vous ne retiendrez pas, mais qu’un gestionnaire peut stocker et saisir).
Pourquoi ça marche : l’aléatoire et l’unicité sont au rendez-vous. La CISA recommande d’utiliser des mots de passe longs, aléatoires et uniques, et relie cela à l’usage d’un gestionnaire. cisa.gov
Mon avis : pour la majorité des gens, le combo le plus “stable” au quotidien en 2026 reste phrase de passe longue + gestionnaire pour le reste. Ça réduit le risque de réutilisation et ça évite de retomber dans des astuces trop prévisibles.
Exemples faibles : ce qu’il faut éviter
- “Azerty123!” : motif ultra courant, structure classique, très testé.
- “Soleil2026!” : mot du dictionnaire + année + symbole en fin, c’est exactement le genre de schéma que les attaquants automatisent.
- “JulienMars2001” : information personnelle devinable ou retrouvable.
- “MotDePasseMotDePasse” : répétition, manque d’imprévisibilité.
Un piège fréquent : croire qu’ajouter “!” à la fin “sécurise”. Les recommandations modernes rappellent que la longueur et l’imprévisibilité comptent davantage que la décoration. nist.gov
Erreurs fréquentes dans le choix des mots de passe
Réutilisation sur plusieurs sites
C’est l’erreur n°1. Et elle est très humaine : on veut retenir. Problème : si un service fuit, des attaquants testent ensuite le même couple email/mot de passe ailleurs. La CISA illustre clairement ce risque et insiste sur l’unicité du mot de passe pour chaque compte. cisa.gov
Technique simple : considérez que votre mot de passe “principal” ne doit jamais exister. Il n’y a pas de “mot de passe universel”, seulement des secrets différents, gérés proprement.
Utilisation de motifs évidents ou de suites logiques
Beaucoup de gens construisent des mots de passe “complexes” qui restent prédictibles :
- Majuscule au début + mot + chiffre + “!” à la fin
- Substitutions scolaires (“a” en “@”, “e” en “3”)
- Suites clavier (“azerty”, “qwertyuiop”), suites numériques (“123456”)
Le NIST explique justement que forcer certains types de caractères peut pousser à ces schémas, car l’utilisateur optimise pour “passer la règle” au lieu d’augmenter l’imprévisibilité. nist.gov
Mots de passe liés à la vie personnelle
C’est le volet psychologique : on utilise ce qui vient vite à l’esprit, donc ce qui a du sens. Sauf que ce “sens” est une piste. Un attaquant motivé peut recouper des infos publiques, ou exploiter des données issues d’anciennes fuites.
Une phrase de passe doit être personnelle au sens “facile à mémoriser”, pas personnelle au sens “biographique”.
Comment vérifier la robustesse d’un mot de passe
Utilisation d’outils en ligne fiables
Il existe des outils qui estiment la robustesse, mais il faut garder une règle de sécurité : ne saisissez jamais un mot de passe réel d’un compte important dans un site inconnu. Préférez :
- les vérificateurs intégrés à des gestionnaires de mots de passe reconnus (ils travaillent localement ou via des mécanismes conçus pour limiter l’exposition) ;
- les indicateurs de robustesse proposés lors de la création du mot de passe, quand ils sont bien faits ;
- les services de vérification d’exposition d’identifiants (plutôt pour savoir si une adresse email apparaît dans des fuites, que pour “tester” le mot de passe lui-même).
Le NIST note l’intérêt des indicateurs de robustesse (password meters) et des approches de blocage des mots de passe trop courants via des listes de refus (blocklists). pages.nist.gov
Exemples de tests à faire soi-même
Sans outil externe, vous pouvez déjà faire un “audit” rapide, très utile :
- Test 1 : est-ce que ce mot de passe existe ailleurs ? Si oui, il est à changer.
- Test 2 : quelqu’un qui me connaît pourrait-il le deviner (prénom, passion, équipe, date) ? Si oui, poubelle.
- Test 3 : ressemble-t-il à un modèle (“Mot+année+!”) ? Si oui, refaites-le en version longue et moins structurée.
- Test 4 : fait-il au moins 15 caractères, ou une vraie phrase de passe ? Le NIST donne ce repère de longueur minimale et promeut l’idée de passphrase pour la mémorisation. nist.gov
Bonnes pratiques complémentaires pour sécuriser ses mots de passe
Gestionnaires de mots de passe : rôle et avantages
Le gestionnaire de mots de passe n’est pas un gadget. C’est la réponse pratique à l’unicité : il génère, stocke et remplit des mots de passe longs et aléatoires, sans vous demander de tout retenir. La CISA recommande explicitement l’usage d’un gestionnaire et explique l’idée, vous ne mémorisez qu’un secret robuste, celui du gestionnaire. cisa.gov
Dans votre cocon, je vous conseille de lier cette page à comment choisir un gestionnaire de mots de passe, pour passer de la théorie à une méthode d’organisation au quotidien.
Renouvellement régulier et alertes de sécurité
On voit encore l’idée “changez tous les 90 jours”. Les recommandations modernes sont plus nuancées : la CNIL indique ne pas demander un renouvellement périodique pour les utilisateurs “simples”, à la différence des comptes à privilèges, et insiste davantage sur la qualité du secret et le cycle de vie (création, renouvellement quand nécessaire, etc.). cnil.fr
Concrètement, changez un mot de passe dans ces cas :
- vous apprenez qu’un service a subi une fuite, ou vous recevez une alerte ;
- vous suspectez un accès non autorisé ;
- vous aviez réutilisé ce mot de passe ailleurs.
Et pour réduire l’impact d’un mot de passe volé, activez une authentification forte. Le guide ANSSI traite précisément de l’authentification multifacteur et de la place des mots de passe dans une stratégie plus large. cyber.gouv.fr
Ressources pour aller plus loin : liens internes et outils utiles
Si vous construisez un parcours utilisateur “actionnable”, voici des passerelles naturelles :
- Pour une vue d’ensemble de la protection des comptes, mots de passe, 2FA et récupération après incident : securiser ses comptes en ligne.
- Pour activer la couche qui change vraiment la donne contre le vol de mots de passe (et comprendre les options) : authentification a deux facteurs 2fa c est quoi.
- Pour choisir une solution de gestion au quotidien, sans tomber dans les pièges : comment choisir un gestionnaire de mots de passe.
- Pour élargir au contexte, phishing, protection des données, hygiène numérique : cybersecurite protection donnees phishing vie privee.
Si vous ne deviez faire qu’un changement cette semaine, ce serait lequel : remplacer deux ou trois mots de passe réutilisés par des phrases de passe longues, ou activer la 2FA sur votre email principal, là où arrivent tous les liens de réinitialisation ?