hygiene numerique

Choisir un bon mot de passe en 2026 : ce qui marche vraiment

Pourquoi 12 caractères majuscule chiffre ne suffit plus. La méthode phrase secrète et gestionnaire qui marche réellement.

Par Étienne Aubry · · 9 min de lecture
Illustration : choisir un bon mot de passe en 2026

Choisir un bon mot de passe en 2026 : ce qui marche vraiment

Les règles qu’on vous a apprises sur les mots de passe il y a 10 ans sont en grande partie obsolètes. « 8 caractères avec une majuscule, un chiffre et un caractère spécial » ne protège plus contre les attaques modernes. Pire : ces règles produisent des mots de passe que les humains contournent en pratique (Pa$$w0rd123! recyclé partout) — exactement l’inverse de l’effet recherché.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et les principaux organismes internationaux ont mis à jour leurs recommandations. Cet article explique ce qui marche vraiment en 2026, pourquoi, et comment l’appliquer chez vous sans douleur.

Pourquoi les anciennes règles ne suffisent plus

Trois changements technologiques majeurs ont rendu les vieilles règles caduques :

1. La puissance de calcul des attaquants a explosé. Un mot de passe à 8 caractères, même complexe, peut aujourd’hui être cassé par force brute en quelques heures avec du matériel grand public. Avec une carte graphique haut de gamme, c’est même quelques minutes.

2. Les bases de fuites publiques sont massives. Avec 12 milliards de comptes indexés sur Have I Been Pwned et probablement 30 à 50 milliards dans les bases privées des cybercriminels, vos anciens mots de passe sont quasi-certainement déjà connus. La complexité du mot de passe importe peu : s’il a fuité, il est dans les listes utilisées par les attaquants. Voyez notre tutoriel pour vérifier vos fuites sur HIBP.

3. Les attaques par réutilisation (« credential stuffing ») sont automatisées. Les attaquants prennent votre couple e-mail/mot de passe fuité sur un site, et le testent automatiquement sur des centaines d’autres sites — banque, réseaux sociaux, e-mail. C’est la principale source de comptes piratés en France aujourd’hui.

Conclusion : la complexité ne suffit plus. Ce qui compte, c’est la longueur et surtout l’unicité par compte.

Les nouvelles règles, énoncées simplement

Trois règles qui couvrent 99 % du besoin pour un particulier :

Règle 1 — Un mot de passe différent par compte. C’est de loin la règle la plus importante. Si chacun de vos comptes a un mot de passe unique, alors une fuite sur un site quelconque n’affecte que ce site. Sans cette règle, toutes les autres ne servent à rien.

Règle 2 — Au moins 14 caractères, idéalement 16 ou plus. La longueur protège contre la force brute. Un mot de passe à 16 caractères, même fait uniquement de minuscules, est très difficile à casser. À l’inverse, un mot de passe court reste cassable même avec des caractères spéciaux.

Règle 3 — La 2FA partout où c’est possible. Voyez notre guide pour activer la double authentification partout. Avec la 2FA, même si votre mot de passe fuit, l’attaquant ne peut rien faire.

C’est tout. Trois règles, mémorables.

La méthode « phrase secrète » : pour ce que vous tapez souvent

Pour les mots de passe que vous tapez très régulièrement (déverrouillage du gestionnaire, déverrouillage de session Windows / Mac), la méthode recommandée par l’ANSSI est la phrase secrète.

Le principe : assembler 4 à 5 mots, en les choisissant suffisamment originaux pour ne pas former une phrase commune.

Exemple : « Chien-Bouteille-Rouge-Cinéma-42 »

Pourquoi ça marche :

  • C’est long (29 caractères dans l’exemple), donc résistant à la force brute.
  • C’est mémorisable (l’esprit visualise les images).
  • Ça résiste aux attaques par dictionnaire si les mots sont vraiment choisis sans logique commune.

Astuce pour générer une vraie phrase secrète : ouvrir un livre au hasard, prendre 4 mots à 4 pages au hasard. Les mots doivent être indépendants. Une phrase normale (« le chat dort sur le canapé ») est beaucoup moins solide qu’une suite d’images aléatoires (« chat-piano-fusée-bambou »).

La méthode « gestionnaire de mots de passe » : pour tout le reste

Pour vos 200 comptes en ligne (eh oui, vous en avez bien plus que vous ne pensez), tenter de retenir 200 mots de passe uniques de 16 caractères est impossible. La solution : un gestionnaire de mots de passe.

Un gestionnaire est une application qui :

  • Génère des mots de passe aléatoires solides (par exemple tQ7@2X#zKp9wB!4N).
  • Les stocke chiffrés dans une base sécurisée.
  • Les remplit automatiquement sur les sites quand vous vous connectez.
  • Synchronise entre tous vos appareils (smartphone, ordinateur, tablette).

Vous n’avez qu’un seul mot de passe à retenir : celui qui ouvre le gestionnaire (votre « mot de passe maître »). Ce dernier doit être une phrase secrète solide, comme expliqué plus haut.

Trois gestionnaires recommandés, gratuits ou peu coûteux :

  • Bitwarden — gratuit, open source, version premium à 10 $/an. Excellent rapport qualité/prix, recommandé pour la majorité.
  • 1Password — payant (3 €/mois environ), interface très soignée, idéal pour les familles.
  • Trousseau iCloud (intégré Apple) — gratuit si vous êtes 100 % Apple. Limité hors écosystème Apple.

Pour le détail comparatif, voyez notre comparatif des gestionnaires de mots de passe.

La méthode papier : pour ceux qui refusent le numérique

Si vous (ou un parent senior) refusez catégoriquement un gestionnaire numérique, la solution papier reste valable :

Un carnet papier rangé dans un tiroir à la maison. Jamais transporté à l’extérieur, jamais photographié. Vous y notez vos mots de passe importants, classés par site.

C’est moins pratique qu’un gestionnaire numérique, mais c’est parfaitement sûr — un attaquant à distance ne peut pas voir votre carnet. Le seul risque est physique (cambriolage, perte). Pour la majorité des seniors, c’est une solution acceptable.

À éviter absolument :

  • Stocker les mots de passe dans un fichier motsdepasse.docx sur l’ordinateur (premier endroit qu’un attaquant ira regarder).
  • Les noter sur un post-it collé à l’écran (visible par les visiteurs).
  • Les envoyer dans un mail à soi-même (le mail peut être piraté).
  • Les sauvegarder dans une note iCloud / Google Notes non chiffrée.

Ce qu’il ne faut PAS faire (et que tout le monde fait)

Cinq erreurs très répandues :

1. Réutiliser le même mot de passe sur plusieurs sites. La fuite d’un seul site compromet alors tous vos comptes. C’est la première cause de piratage en cascade.

2. Utiliser des informations personnelles devinables. Nom, date de naissance, nom de l’enfant ou du chien, ville de naissance. Ces informations sont publiques (réseaux sociaux) ou faciles à trouver.

3. Substituer naïvement des caractères. « Pa$$w0rd » au lieu de « Password » ne trompe aucun logiciel d’attaque. Ces substitutions sont dans tous les dictionnaires.

4. Changer son mot de passe tous les 3 mois sans raison. L’ANSSI a abandonné cette recommandation depuis 2017. Un mot de passe fort qui n’a pas fuité reste fort. Changer pour changer pousse les utilisateurs à choisir des variantes prévisibles (Password2025! puis Password2026!).

5. Ne changer le mot de passe QUE quand un piratage est avéré. Quand vous découvrez qu’un site a été piraté (notification, alerte HIBP), changez le mot de passe immédiatement — y compris sur tous les autres sites où vous l’utilisez si jamais vous l’aviez réutilisé.

La question de la 2FA

Un bon mot de passe est nécessaire mais pas suffisant en 2026. La double authentification (2FA) est ce qui empêche un attaquant ayant volé votre mot de passe de prendre le contrôle de votre compte. Voyez notre explication détaillée de la 2FA pour non-techniciens.

Mot de passe solide + 2FA = vos comptes sont quasi-inviolables sans accès physique à vos appareils. C’est l’objectif à viser pour tous les comptes critiques.

Le cas particulier du mot de passe Wi-Fi

Beaucoup de personnes laissent le mot de passe Wi-Fi par défaut (celui inscrit sous la box) — c’est en général une chaîne longue et aléatoire, donc solide. Si vous le changez, faites une vraie phrase secrète, pas « bonjour123 ».

Désactivez aussi le WPS (Wi-Fi Protected Setup) sur votre box : c’est une fonctionnalité de connexion rapide qui a des vulnérabilités connues. Et changez le mot de passe administrateur de la box (différent du mot de passe Wi-Fi) : le mot de passe par défaut est public, n’importe qui peut le trouver.

Pour les abonnés Sérénité Cyber

Notre abonnement Sérénité Cyber inclut une veille permanente sur vos identifiants (e-mail, mots de passe) via Have I Been Pwned et bases équivalentes. À chaque fuite connue impliquant un de vos comptes, vous recevez une alerte sous 24 heures avec les actions à mener. Cela vous évite de vérifier vous-même tous les mois et de manquer une fuite critique. Détail sur la page Sérénité Cyber.

En résumé

Bon mot de passe en 2026 : trois règles, un mot de passe différent par compte, au moins 14 caractères (16 idéalement), 2FA partout où c’est possible. Méthode pratique : un gestionnaire de mots de passe (Bitwarden, 1Password, trousseau Apple) qui stocke et remplit automatiquement ; un mot de passe maître en phrase secrète à 4-5 mots aléatoires. Méthode papier acceptable pour les seniors qui refusent le numérique : carnet papier dans un tiroir à la maison. À éviter : réutilisation, infos personnelles, substitution naïve, changement régulier sans raison.

Si vous êtes au Mans ou en Sarthe et que vous voulez mettre en place tout cela (choix du gestionnaire, migration de vos comptes, mot de passe maître solide, 2FA partout), je propose un Audit Sérénité Solo à 149 € (74,50 € après crédit d’impôt service à la personne) en 1h30 à votre domicile. Détail sur la page audit. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Sérénité Cyber Solo

Le filet de sécurité mensuel. Veille sur vos fuites de données, hotline, et 1 intervention à distance incluse chaque mois.

M’abonner à Sérénité Solo

19 € / mois