Guide de sécurité

Quelle doit être la longueur d'un mot de passe ?

Découvrez quand choisir 12, 16, 20 ou 32 caractères et pourquoi la longueur, l'unicité et le stockage du mot de passe importent plus que la complexité visuelle.

Résumé

Pour la plupart des comptes modernes, 16 caractères aléatoires constituent une base pratique solide. Utilisez 20 caractères ou plus pour les comptes personnels importants, les e-mails, les services bancaires, le travail ou l’administration. Utilisez 32 caractères lorsque le mot de passe sera stocké dans un gestionnaire et protège un accès à haute valeur.

Essayez les générateurs de 16 caractères, 20 caractères ou 32 caractères.

Niveaux de longueur

Les mots de passe courts sont plus faciles à deviner car il y a moins de combinaisons possibles. Six à neuf caractères est généralement trop court pour la sécurité d’un compte. Dix à quatorze caractères peuvent être acceptés par de nombreux services, mais ne doivent pas être considérés comme la destination préférée pour les comptes importants.

Seize caractères aléatoires est un bon choix par défaut lorsqu’un gestionnaire de mots de passe stocke la valeur. Vingt caractères ajoute une marge tout en restant compatible avec de nombreux sites. Trente-deux caractères est utile pour les panneaux d’administration, les fichiers chiffrés, les identifiants de base de données et les secrets locaux.

Longueur aléatoire versus longueur humaine

Un mot de passe aléatoire de 16 caractères est très différent d’une phrase de 16 caractères créée par un humain. Les choix humains incluent souvent des mots, des dates, des noms et des terminaisons prévisibles. Les attaquants testent ces modèles avant de tenter une attaque par force brute aveugle.

Recommandations pratiques

• Utilisez 16 caractères comme base normale.
• Utilisez 20 à 32 caractères pour les comptes à haute valeur.
• Utilisez une phrase de passe si la mémorisation est importante.
• Utilisez des préréglages sans symbole ou sans ambiguïté uniquement lorsque la compatibilité l’exige.
• Ne réutilisez jamais un mot de passe simplement parce qu’il est long.

Guide détaillé

Ce guide se concentre sur le choix de la longueur du mot de passe en fonction des risques du compte. Il est destiné aux lecteurs qui comparent les choix de 12, 16, 20, 24 et 32 caractères, donc l’objectif pratique n’est pas de créer une affirmation de sécurité dramatique. L’objectif est de choisir une habitude de mot de passe qui puisse survivre à une utilisation quotidienne : formulaires de connexion, gestionnaires de mots de passe, claviers mobiles, récupération de compte, appareils partagés et le service occasionnel avec des règles de validation étranges. Une recommandation sécurisée n’est utile que si une personne réelle peut la suivre de manière cohérente.

Le point de départ le plus sûr est le caractère aléatoire plus l’unicité. Le caractère aléatoire signifie que la valeur est sélectionnée dans un grand espace par une source aléatoire cryptographiquement appropriée, et non inventée à partir d’un anniversaire, d’un nom d’animal, d’un motif de clavier ou d’une citation préférée. L’unicité signifie que le même mot de passe n’est utilisé nulle part ailleurs. Un mot de passe long mais réutilisé peut échouer rapidement après une fuite non liée, tandis qu’un mot de passe unique et aléatoire limite les dégâts au seul compte où il a été utilisé.

Pour ce sujet, un préréglage pratique est de 16 caractères pour les comptes ordinaires, 20 ou plus pour les comptes importants, et 32 pour les secrets qui sont stockés plutôt que tapés. Vous pouvez appliquer ce préréglage avec le générateur de mots de passe de 32 caractères puis stocker la valeur finale dans un gestionnaire de mots de passe de confiance. PwdGen génère les valeurs localement dans le navigateur avec Web Crypto ; le mot de passe généré n’est pas envoyé à un serveur PwdGen. Cette conception locale réduit l’exposition côté serveur, mais ne protège pas contre toutes les menaces. Une extension de navigateur malveillante, un appareil compromis, une page de phishing ou une gestion non sécurisée du presse-papiers peuvent toujours exposer un secret après sa génération.

Les problèmes les plus courants à éviter sont les valeurs aléatoires courtes, les limites de longueur maximale, les formulaires obsolètes et le fait de supposer qu’un nombre fixe est sûr pour tous les systèmes. Ces problèmes comptent car les attaquants ont rarement besoin de forcer brutalement tous les mots de passe possibles lorsque les habitudes humaines leur donnent un raccourci. Le credential stuffing, le phishing, les listes de mots de passe divulgués et l’abus de récupération de compte sont souvent plus réalistes qu’une recherche mathématique pure. C’est pourquoi le meilleur conseil combine la qualité du mot de passe avec des contrôles au niveau du compte tels que l’authentification multifacteur (MFA), les clés d’accès (passkeys), le stockage des codes de récupération et la vérification régulière des paramètres de récupération par e-mail ou téléphone.

Utilisez cette liste de contrôle lors de l’application de la recommandation :

• Utilisez plus de longueur lorsque les symboles ne sont pas autorisés.
• Vérifiez la longueur maximale de destination avant d’enregistrer.
• Évitez de raccourcir les mots de passe par commodité.
• Utilisez des phrases de passe lorsque la mémorisation est importante.

Si un site Web rejette le réglage idéal, ne forcez pas le mot de passe dans un modèle plus faible à la main. Ajustez une variable à la fois. Si les symboles sont rejetés, conservez les majuscules, minuscules et chiffres activés et augmentez la longueur. Si une longueur maximale est faible, utilisez la plus grande longueur acceptée et assurez-vous que la valeur est unique. Si un mot de passe doit être lu à voix haute, imprimé ou tapé sur un écran de télévision ou de routeur, envisagez d’exclure les caractères ambigus et d’augmenter la longueur pour compenser le plus petit alphabet.

Enfin, rappelez-vous les limites des conseils sur les mots de passe. Un mot de passe fort est une couche de défense, pas une garantie. Il ne peut pas rendre une page de phishing sûre, réparer un logiciel malveillant ou compenser un service qui stocke mal les identifiants. L’habitude utile est ennuyeuse mais durable : générez une valeur unique, stockez-la en toute sécurité, protégez le chemin de récupération et remplacez-la rapidement si vous soupçonnez une exposition.

Foire aux questions

12 caractères suffisent-ils ?

Un mot de passe aléatoire de 12 caractères peut être utile pour la compatibilité, mais 16 ou plus est un meilleur choix par défaut lorsque le service l’accepte.

Quand dois-je utiliser 20 ou 32 caractères ?

Utilisez 20 caractères ou plus pour les comptes importants et 32 pour les flux de travail d’administration, de fichiers chiffrés ou de secrets de développeur stockés dans un gestionnaire de mots de passe.

Un mot de passe peut-il être trop long ?

Certains services imposent des longueurs maximales ou rejettent les symboles. Utilisez la valeur aléatoire unique la plus longue que la destination accepte.