Guide de sécurité

Comment créer un mot de passe fort

Un guide pratique pour créer des mots de passe forts et uniques, avec génération locale, gestionnaires de mots de passe, MFA et habitudes de récupération sûres.

Résumé

Un mot de passe fort n’est pas simplement une chaîne qui « a l’air compliquée ». Il est suffisamment long pour le cas d’usage, généré aléatoirement, unique pour un compte et stocké en toute sécurité. Le flux de travail le plus fiable au quotidien est simple : générer une valeur aléatoire unique, la sauvegarder dans un gestionnaire de mots de passe et activer la MFA ou une passkey dès que le service le permet.

Utilisez le générateur de mots de passe aléatoires gratuit ou le générateur de mots de passe à 16 caractères lorsque vous avez besoin d’un nouveau mot de passe pour un compte.

Qu’est-ce qui rend un mot de passe fort

Les mots de passe pratiques les plus forts sont sélectionnés par un processus aléatoire, non inventés par une personne. Les mots de passe créés par des humains contiennent souvent des noms, des dates, des chemins de clavier, des marques, des paroles ou des substitutions familières. Les attaquants connaissent ces schémas et les essaient en premier.

La génération aléatoire change la donne. Un mot de passe généré, comme une valeur de 16, 20 ou 32 caractères, n’a pas d’histoire personnelle, pas de date de calendrier et pas de structure de dictionnaire pratique. Il n’est utile que s’il reste unique et privé.

Recommandations pratiques

1. Générez un nouveau mot de passe pour chaque compte.
2. Préférez au moins 15 à 16 caractères aléatoires pour les comptes ordinaires.
3. Utilisez 20 caractères ou plus pour les e-mails, les services bancaires, le travail et l’accès administrateur lorsque c’est accepté.
4. Incluez des symboles lorsque la destination les accepte.
5. Stockez les mots de passe dans un gestionnaire de mots de passe de confiance.
6. Activez la MFA ou les passkeys.
7. Vérifiez les paramètres de récupération de compte, car les attaquants ciblent souvent les chemins de récupération.

Ce que la génération locale résout et ne résout pas

PwdGen génère les valeurs localement avec Web Crypto et ne télécharge pas les mots de passe générés. Cela protège contre la collecte intentionnelle de la valeur générée par le site web. Cela ne protège pas contre une extension de navigateur compromise, un gestionnaire de presse-papiers non sécurisé, un malware, une page de phishing ou un service qui gère mal le stockage des mots de passe.

Guide détaillé

Ce guide se concentre sur la création d’un mot de passe fort à partir de zéro. Il est écrit pour les personnes qui remplacent des mots de passe faibles ou réutilisés, donc l’objectif pratique n’est pas de créer une revendication de sécurité dramatique. L’objectif est de choisir une habitude de mot de passe qui peut survivre à une utilisation quotidienne : formulaires de connexion, gestionnaires de mots de passe, claviers mobiles, récupération de compte, appareils partagés et le service occasionnel avec des règles de validation étranges. Une recommandation sécurisée n’est utile que si une personne réelle peut la suivre de manière cohérente.

Le point de départ le plus sûr est le caractère aléatoire plus l’unicité. Le caractère aléatoire signifie que la valeur est sélectionnée dans un grand espace par une source aléatoire cryptographiquement appropriée, non inventée à partir d’un anniversaire, d’un nom d’animal, d’un motif de clavier ou d’une citation favorite. L’unicité signifie que le même mot de passe n’est utilisé nulle part ailleurs. Un mot de passe long mais réutilisé peut échouer rapidement après une violation non liée, tandis qu’un mot de passe unique et aléatoire limite les dégâts au seul compte où il a été utilisé.

Pour ce sujet, un préréglage pratique est de 20 caractères, majuscules, minuscules, chiffres et symboles lorsque c’est accepté. Vous pouvez appliquer ce préréglage avec le générateur de mots de passe à 20 caractères puis stocker la valeur finale dans un gestionnaire de mots de passe de confiance. PwdGen génère les valeurs localement dans le navigateur avec Web Crypto ; le mot de passe généré n’est pas envoyé à un serveur PwdGen. Cette conception locale réduit l’exposition côté serveur, mais ne protège pas contre toutes les menaces. Une extension de navigateur malveillante, un appareil compromis, une page de phishing ou une gestion non sécurisée du presse-papiers peuvent toujours exposer un secret après sa génération.

Les problèmes les plus courants à éviter sont les noms personnels, les anniversaires, les parcours de clavier, les terminaisons réutilisées et les substitutions prévisibles comme remplacer a par @. Ces problèmes comptent car les attaquants ont rarement besoin de forcer brutalement chaque mot de passe possible lorsque les habitudes humaines leur donnent un raccourci. Le credential stuffing, le phishing, les listes de mots de passe divulguées et l’abus de récupération de compte sont souvent plus réalistes qu’une recherche mathématique pure. C’est pourquoi le meilleur conseil combine la qualité du mot de passe avec des contrôles au niveau du compte tels que la MFA, les passkeys, le stockage des codes de récupération et la vérification régulière des paramètres de l’e-mail ou du téléphone de récupération.

Utilisez cette liste de contrôle lors de l’application de la recommandation :

• Utilisez une valeur différente pour chaque compte.
• Préférez la génération aléatoire aux motifs personnels.
• Stockez le résultat dans un gestionnaire de mots de passe.
• Activez la MFA ou les passkeys lorsque disponibles.

Si un site web rejette le paramètre idéal, ne forcez pas le mot de passe dans un motif plus faible à la main. Ajustez une variable à la fois. Si les symboles sont rejetés, gardez les majuscules, minuscules et chiffres activés et augmentez la longueur. Si une longueur maximale est faible, utilisez la plus grande longueur acceptée et assurez-vous que la valeur est unique. Si un mot de passe doit être lu à voix haute, imprimé ou tapé sur un écran de télévision ou de routeur, envisagez d’exclure les caractères ambigus et d’augmenter la longueur pour compenser l’alphabet plus petit.

Enfin, rappelez-vous les limites des conseils sur les mots de passe. Un mot de passe fort est une couche de défense, pas une garantie. Il ne peut pas rendre une page de phishing sûre, réparer un malware ou compenser un service qui stocke mal les identifiants. L’habitude utile est ennuyeuse mais durable : générer une valeur unique, la stocker en toute sécurité, protéger le chemin de récupération et la remplacer rapidement si vous suspectez une exposition.

Foire aux questions

Quelle est la règle la plus simple pour un mot de passe fort ?

Utilisez un mot de passe long, aléatoire et unique pour chaque compte et stockez-le dans un gestionnaire de mots de passe de confiance.

Un mot de passe court et complexe est-il meilleur qu’un mot de passe long et aléatoire ?

Généralement non. La longueur et l’imprévisibilité comptent plus que les substitutions familières comme remplacer des lettres par des symboles.

Dois-je utiliser la MFA avec un mot de passe fort ?

Oui. La MFA ou les passkeys ajoutent une protection lorsqu’un mot de passe est phishé, réutilisé ailleurs ou exposé par une violation de service.