Un mot de passe à 8 caractères est cassé par une carte graphique grand public en quelques minutes. À 10 caractères, en quelques heures. À 12, en quelques mois. À 16, en quelques siècles. Tout le secret tient dans ces quatre nombres — et dans la méthode pour s’en souvenir sans Post-it.
Le vrai problème : la longueur, pas la complexité
Pendant vingt ans, on nous a appris à mettre des majuscules, des chiffres et des symboles dans nos mots de passe. La logique semblait imparable : plus de variété, plus de combinaisons, donc plus difficile à casser. La logique était fausse.
Ce qui rend un mot de passe résistant, c’est son entropie — le nombre total de combinaisons possibles. Or, ajouter un caractère multiplie l’entropie bien plus efficacement qu’ajouter un type de symbole. P@ssw0rd! (9 caractères, qu’on retient mal) est massivement plus faible que chevalvioletcuisinedimanche (28 caractères, qu’on retient bien).
À retenir — Un mot de passe de 16 caractères en minuscules uniquement = environ 10²² combinaisons. Un mot de passe de 9 caractères « complexe » avec symboles = environ 10¹⁷ combinaisons. La longueur gagne d’un facteur 100 000.
La méthode des phrases de passe
L’approche moderne — recommandée par le NIST américain depuis 2017 et par l’ANSSI française — s’appelle la passphrase. On choisit 4 à 6 mots aléatoires, sans rapport entre eux, qu’on assemble. Exemple :
cactus-bibliothèque-pluie-zinc-saxophone
Cinq mots, 41 caractères, mémorisables en visualisant la scène mentalement (un cactus dans une bibliothèque sous la pluie, du zinc, un saxophone). Pour un attaquant moderne, casser cette combinaison demande plus de temps que l’âge de l’univers.
Comment générer une bonne phrase de passe
- Choisir au moins 4 mots — vraiment au hasard, pas les premiers qui passent par la tête (« mon chat dort ici » est trivial à deviner).
- Mélanger les domaines lexicaux : objet du quotidien + concept abstrait + nom propre inventé + verbe rare.
- Visualiser la phrase avant de la valider — si vous ne voyez pas la scène, vous oublierez le mot de passe.
- Personnaliser légèrement avec un séparateur ou un chiffre intercalé — utile uniquement si le service impose ces règles.
Mais alors… un par site, vraiment ?
Oui. Si vous réutilisez le même excellent mot de passe sur dix sites, le jour où l’un d’eux fuite (et il fuitera, voir haveibeenpwned.com), les neuf autres comptes sont compromis dans les heures qui suivent. C’est le scénario d’attaque le plus banal et le plus efficace du web.
Et non, ce n’est pas raisonnable de retenir 200 phrases de passe différentes. C’est là qu’intervient l’outil indispensable du XXIᵉ siècle : le gestionnaire de mots de passe.
Le gestionnaire de mots de passe : un seul mot de passe à retenir
Un gestionnaire (Bitwarden, 1Password, KeePassXC, Proton Pass…) stocke des mots de passe uniques pour chaque service, dans un coffre chiffré. Vous ne retenez qu’une seule phrase de passe — celle qui ouvre le coffre.
Trois critères pour choisir le bon outil :
- Hébergement européen ou auto-hébergeable (Bitwarden, KeePass) — vous gardez la maîtrise de vos données.
- Chiffrement de bout en bout — l’éditeur ne peut pas lire votre coffre, même s’il le voulait.
- Synchronisation multi-appareils — sinon, vous trichez et revenez à de mauvaises habitudes.
À retenir — Mettre son mot de passe maître dans un fichier
passwords.txtsur le bureau « au cas où ». Si quelqu’un accède à votre machine, il a tout. Mémorisez votre mot de passe maître. C’est le seul à apprendre par cœur.
Et le second facteur (2FA) ?
Même la meilleure phrase de passe est inutile face à un phishing bien fait. La double authentification (2FA) ajoute une seconde barrière : un code temporaire généré sur votre téléphone (via Aegis, Authy, Google Authenticator), ou mieux, une clé physique (YubiKey).
Activez la 2FA sur tous les services critiques : messagerie, banque, hébergement, GitHub, gestionnaire de mots de passe lui-même. C’est le geste qui transforme un compte vulnérable en compte difficilement piratable.
À retenir — Pour la sécurité numérique de votre organisation, retenez ces trois mots : longueur, unicité, double facteur. Tout le reste — symboles, majuscules, renouvellement obligatoire tous les 90 jours — est dépassé.
Le NIST a explicitement retiré, en 2017 puis confirmé en 2020 et 2024, ses recommandations historiques sur la complexité des caractères et l’expiration périodique. Si votre DSI vous impose toujours « 1 majuscule + 1 chiffre + 1 symbole + changer tous les 3 mois », c’est qu’elle applique des règles que la cybersécurité moderne a abandonnées.
