UtilBoxx
Outils pour développeurs·5 min

Comment créer des mots de passe forts et mémorables (2026)

Générez des mots de passe cryptographiquement forts. Contrôlez la longueur, les caractères et la prononçabilité.

Pourquoi les mots de passe comptent encore en 2026

Nous sommes profondément dans l'ère des passkeys, mais les mots de passe restent la méthode d'authentification la plus courante sur Internet. La plupart des comptes en ligne — email, banque, réseaux sociaux, outils de travail, services de streaming — reposent toujours sur un nom d'utilisateur et un mot de passe comme méthode d'authentification principale ou de secours. Même lorsque la biométrie ou les passkeys sont disponibles, un mot de passe maître fort protège le gestionnaire qui contient tout le reste.

Un mot de passe faible est l'une des choses les plus faciles à exploiter pour un attaquant. Les outils de force brute peuvent tester des milliards de suppositions de mots de passe par seconde contre un hash de mot de passe volé. Le credential stuffing réutilise les mots de passe divulgués lors d'une violation pour compromettre des comptes sur des services sans rapport. Le phishing trompe les utilisateurs pour qu'ils tapent leurs mots de passe sur de fausses pages de connexion. Les défenses contre tout cela commencent par un mot de passe fort et unique pour chaque compte.

Ce guide couvre comment générer des mots de passe forts, les différentes classes de caractères que vous pouvez utiliser, comment les rendre mémorables, et comment utiliser un gestionnaire de mots de passe pour les garder organisés.

Qu'est-ce qui rend un mot de passe fort ?

La force d'un mot de passe se mesure en bits d'entropie. Chaque bit d'entropie double le travail qu'un attaquant doit faire pour le deviner. La formule :

``` entropy = log2(character_pool^length) ```

Où `character_pool` est le nombre de caractères distincts disponibles et `length` est la longueur du mot de passe.

Pour qu'un mot de passe soit considéré comme fort en 2026 :

  • Au moins 16 caractères de longueur (plus long est toujours mieux)
  • Mélange de classes de caractères : majuscules, minuscules, chiffres et symboles
  • Génération aléatoire ou pseudo-aléatoire (pas un mot du dictionnaire, un nom ou une phrase courante)
  • Unique par service (ne jamais réutiliser les mots de passe entre sites)

Un mot de passe aléatoire de 16 caractères utilisant les 4 classes de caractères a environ 95 bits d'entropie — suffisant pour résister à la force brute pendant des décennies, même avec un hash volé et le matériel le plus rapide.

Modèles faibles courants à éviter :

  • Mots du dictionnaire : « password », « sunshine », « football »
  • Noms, anniversaires : « Jean1990 », « Maggie2010 »
  • Substitutions courantes : « P@ssw0rd » — semble aléatoire, mais est dans le dictionnaire de chaque attaquant
  • Mots de passe réutilisés : « MonChien2020! » utilisé sur 14 sites différents
  • Caractères séquentiels ou répétés : « 12345678 », « aaaaaaaa »

Classes de caractères

Les quatre classes de caractères et leurs tailles de pool typiques :

| Classe | Exemples | Taille du pool | |-------------|--------------------------------|----------------| | Minuscules | a–z | 26 | | Majuscules | A–Z | 26 | | Chiffres | 0–9 | 10 | | Symboles | !@#$%^&()_-+={}[]|:;"'<>,.?/ | 32 | | Total | | 94* |

Un mot de passe qui utilise les quatre classes a 94 caractères possibles à chaque position. Un mot de passe de 16 caractères de ce pool : 94^16 ≈ 3,7 × 10^31 possibilités, soit environ 105 bits d'entropie.

Certains services restreignent l'ensemble des symboles qu'ils acceptent (par exemple, seulement `!@#$%`). Une solution courante : évitez les caractères les plus problématiques (`/`, `\`, guillemets, backticks) et restez sur le sous-ensemble le plus simple.

Mémorables vs aléatoires

Il y a deux approches principales pour créer des mots de passe forts :

Aléatoires (force maximale, mémorabilité minimale)

Les mots de passe purement aléatoires comme `aB7#kP2&mN9$qR3!` ont une entropie maximale mais sont essentiellement impossibles à mémoriser. Utilisez-les pour les comptes qui vivent dans un gestionnaire de mots de passe — vous n'avez qu'à mémoriser un mot de passe maître.

Passphrases mémorables (bonne force, faciles à mémoriser)

Une passphrase est constituée de plusieurs mots aléatoires assemblés : `correct-horse-battery-staple`. L'exemple classique de XKCD. Avec 4 mots aléatoires d'une liste de 7 776 mots (la liste de mots Diceware), l'entropie est d'environ 51 bits — forte contre les attaques en ligne, facile à mémoriser, facile à taper.

La force d'une passphrase vient de l'entropie par mot, pas de la longueur. Ajouter un symbole et un chiffre (par exemple, `correct-horse-battery-staple-7!`) porte l'entropie à ~57 bits.

Meilleure pratique : combinez les deux. Utilisez un mot de passe maître fort (aléatoire, haute entropie, stocké dans votre cerveau) pour votre gestionnaire de mots de passe, et des mots de passe aléatoires uniques pour chaque autre compte (stockés dans le gestionnaire).

Méthode 1 : Utilisez le générateur de mots de passe de UtilBoxx (Recommandé)

La façon la plus rapide, privée et flexible de générer des mots de passe dans votre navigateur est le Générateur de Mots de Passe de UtilBoxx. Il prend en charge la longueur personnalisée, les classes de caractères (majuscules, minuscules, chiffres, symboles), et un mode prononçable pour des mots de passe mémorables. Tout s'exécute dans votre navigateur en utilisant `crypto.getRandomValues` — cryptographiquement sûr, pas de téléversement, pas de log.

Comment l'utiliser :

  1. Allez sur utilboxx.com/fr/tools/dev/password
  2. Choisissez la longueur du mot de passe (12, 16, 20, 32, 64 sont courants)
  3. Activez les classes de caractères à inclure
  4. Cliquez sur Générer
  5. Copiez le résultat

Pour les mots de passe prononçables :

  1. Activez l'option « Prononçable »
  2. Le générateur produit des mots de passe basés sur des syllabes comme `vahkibozu` ou `fremo-jady`
  3. Ceux-ci sont plus faciles à taper de mémoire mais légèrement moins aléatoires

Pourquoi nous recommandons cette méthode :

  • 100 % gratuit, sans inscription, sans e-mail, sans publicité
  • Confidentialité d'abord : les mots de passe sont générés dans votre navigateur. Ils ne quittent jamais votre appareil.
  • Cryptographiquement sûr : utilise `crypto.getRandomValues`, le CSPRNG du navigateur
  • Personnalisable : longueur, classes de caractères, mode prononçable
  • Fonctionne sur tout appareil avec navigateur

Ajoutez cette page aux favoris — vous l'utiliserez à chaque fois que vous vous inscrivez à un nouveau service.

Méthode 2 : Gestionnaires de mots de passe (1Password, Bitwarden)

Un gestionnaire de mots de passe est un logiciel qui génère, stocke et remplit automatiquement des mots de passe forts. Vous n'avez qu'à mémoriser un mot de passe maître fort ; le gestionnaire s'occupe de tout le reste.

Les deux options les plus populaires :

  • 1Password (payant, ~$3/mois) : Applications soignées pour chaque plateforme, excellent historique de sécurité, plans familiaux, partage de secrets.
  • Bitwarden (gratuit pour les particuliers, $10/an pour premium) : Open source, chiffrement de bout en bout, disponible sur toutes les plateformes, prend en charge l'auto-hébergement.

Les deux :

  • Génèrent des mots de passe aléatoires forts à la demande
  • Les remplissent automatiquement dans les navigateurs et les applications
  • Se synchronisent sur tous vos appareils
  • Vous alertent des mots de passe divulgués ou réutilisés
  • Prennent en charge les passkeys, la 2FA et les notes sécurisées

Un gestionnaire de mots de passe est la plus grande amélioration de sécurité que vous puissiez faire. Si vous n'adoptez qu'un seul outil de ce guide, que ce soit un gestionnaire de mots de passe.

Méthode 3 : CLI avec openssl ou pwgen

Les utilitaires Unix `openssl` et `pwgen` sont des moyens rapides et scriptables de générer des mots de passe depuis un terminal.

```bash # Générer un mot de passe base64 de 24 caractères openssl rand -base64 24 # kPq3M9zT8sB1eF7gH5jL0nR2w==

# Générer un mot de passe hexadécimal de 32 caractères openssl rand -hex 32 # 7a4f8b2c1d9e3f5a6b8c0d2e4f6a8b0c1d3e5f7a9b1c3d5e7f9a1b3c5d7e9f1a3

# 16 caractères alphanumériques aléatoires LC_ALL=C tr -dc 'A-Za-z0-9' </dev/urandom | head -c 16 # kP3mN9bT7sB1eF5g

# Utiliser pwgen (si installé) pwgen -s 20 1 # 8Hk3jP9mN2qB5vR7wL4t

pwgen 16 1 # aezohCai9Iesohph ```

`openssl rand` est l'option la plus sûre (utilise le CSPRNG d'OpenSSL). `/dev/urandom` est le CSPRNG du noyau, il est aussi bien. `pwgen` est pratique mais son mode par défaut génère des mots de passe prononçables qui sont légèrement moins aléatoires.

Méthode 4 : La méthode diceware (hors ligne, sans ordinateur)

Si vous voulez un mot de passe fort sans faire confiance à un logiciel, la méthode Diceware est l'étalon-or. Elle utilise des dés physiques pour générer des passphrases véritablement aléatoires.

  1. Obtenez une liste de mots Diceware (trouvez-en une sur diceware.com).
  2. Lancez cinq dés ensemble. Les chiffres obtenus (par exemple, 4-2-6-1-3) correspondent à un mot dans la liste (par exemple, « siren »).
  3. Répétez pour chaque mot de votre passphrase (4-5 mots est typique).
  4. Joignez les mots avec des espaces ou des traits d'union.

Exemple : 5 lancers de 5 dés chacun → « siren-vivid-arcade-bulb-quest ». 5 mots × 12,9 bits d'entropie par mot = 64,5 bits d'entropie, bien au-dessus du minimum pour un mot de passe fort.

L'avantage : zéro logiciel, zéro confiance. Vous pouvez vérifier l'entropie vous-même, à la main. L'inconvénient : lent (quelques minutes par passphrase) et peu pratique pour les centaines de mots de passe dont une personne typique a besoin.

Questions fréquentes

Quelle longueur doit avoir mon mot de passe ?

En 2026, au moins 16 caractères pour tout compte important. 20+ est mieux. Plus c'est long, plus c'est fort — et la longueur compte plus que la variété des caractères. Un mot de passe de 20 caractères uniquement en minuscules (log2(26^20) = 94 bits) est plus fort qu'un mot de passe de 8 caractères avec majuscules, minuscules et symboles (log2(94^8) = 52 bits).

Pour les mots de passe maîtres et les comptes de grande valeur, visez 20+ caractères.

Dois-je utiliser des caractères spéciaux dans mon mot de passe ?

Oui, lorsque le service le permet. Les caractères spéciaux augmentent le pool de caractères, ce qui augmente directement l'entropie. Mais la longueur compte plus — un mot de passe de 20 caractères uniquement en minuscules est plus fort qu'un mot de passe de 12 caractères avec tout mélangé.

Un mot de passe de 16 caractères avec majuscules, minuscules, chiffres et symboles : log2(94^16) ≈ 105 bits d'entropie. La même longueur uniquement en minuscules : log2(26^16) ≈ 75 bits. Les deux sont forts, mais le premier est considérablement plus fort.

Les passphrases sont-elles meilleures que les mots de passe ?

Une passphrase Diceware de 5 mots a ~65 bits d'entropie, similaire à un mot de passe aléatoire de 12 caractères (~70 bits). Pour les mots de passe que vous devez taper de mémoire régulièrement, les passphrases sont plus faciles. Pour les mots de passe stockés dans un gestionnaire, l'aléatoire convient.

Le compromis : les passphrases sont plus faciles à mémoriser mais prennent plus de temps à taper, et certains services ont des limites de longueur (par exemple, 16 caractères) qui excluent les passphrases longues.

« P@ssw0rd1! » est-il un mot de passe fort ?

Non. Les substitutions courantes (`@` pour `a`, `0` pour `o`, `!` pour `i`) sont bien connues des attaquants et incluses dans chaque dictionnaire de cassage de mots de passe. Les règles modernes de cassage génèrent des millions de ces variantes par seconde. « P@ssw0rd1! » est cassé en bien moins d'une seconde.

Il en va de même pour les motifs de clavier (`qwerty123`, `asdf1234`) et les ajouts de chiffres à la fin (`password1`, `password123`).

Dois-je changer mes mots de passe régulièrement ?

L'ancien conseil était « changer tous les 90 jours ». Le NIST recommande maintenant contre les changements périodiques obligatoires de mots de passe, car ils encouragent les utilisateurs à choisir des mots de passe plus faibles (ils cyclent à travers des motifs prévisibles comme `Printemps2024!` → `Ete2024!` → `Automne2024!`).

Changez votre mot de passe lorsque :

  • Un service que vous utilisez annonce une violation
  • Vous l'avez accidentellement saisi sur un site de phishing
  • Vous l'avez partagé avec quelqu'un qui ne devrait pas l'avoir
  • C'est un identifiant sur un appareil que vous avez perdu

Sinon, un mot de passe fort et unique peut durer indéfiniment.

Quel est le meilleur gestionnaire de mots de passe ?

Il n'y a pas de « meilleur » unique — le meilleur est celui que vous utiliserez. Parmi les options populaires :

  • 1Password : Meilleure UX, plans familiaux, payant
  • Bitwarden : Meilleure option gratuite, open source, auto-hébergeable
  • Apple iCloud Keychain : Intégré à macOS/iOS, gratuit pour les utilisateurs Apple
  • Google Password Manager : Intégré à Chrome et Android, gratuit
  • Firefox Lockwise : Intégré à Firefox, gratuit
  • KeePass / KeePassXC : Local uniquement, sans cloud, gratuit, open source

Chacun a des compromis entre commodité, sécurité et support de plateforme. Choisissez-en un et utilisez-le systématiquement.

Qu'en est-il des passkeys ?

Les passkeys (basées sur FIDO2/WebAuthn) sont l'avenir : elles remplacent les mots de passe par des paires de clés cryptographiques qui ne peuvent pas être victimes de phishing. Les principales plateformes (Apple, Google, Microsoft) les prennent en charge, et un nombre croissant de services les accepte.

Mais les passkeys ne sont pas encore universelles, et la plupart des comptes ont toujours besoin d'un mot de passe comme solution de secours. Utilisez les passkeys là où elles sont disponibles, mais maintenez un mot de passe maître fort pour votre gestionnaire de mots de passe.

Conclusion

Les mots de passe forts sont le fondement de la cybersécurité personnelle en 2026. Un mot de passe aléatoire de 16+ caractères, généré cryptographiquement et stocké dans un gestionnaire de mots de passe, est l'étalon-or. Les passphrases sont une excellente alternative pour les mots de passe que vous devez mémoriser de mémoire. La réutilisation des mots de passe est le plus grand risque à éviter.

La configuration minimale viable :

  1. Installez un gestionnaire de mots de passe (1Password, Bitwarden, ou l'option intégrée de votre OS)
  2. Définissez un mot de passe maître fort (16+ caractères, aléatoire, ou une passphrase Diceware de 5 mots)
  3. Activez la 2FA sur votre gestionnaire de mots de passe et les comptes critiques
  4. Générez un nouveau mot de passe aléatoire pour chaque site où vous vous inscrivez
  5. Auditez les mots de passe existants et remplacez ceux qui sont réutilisés ou faibles

Pour la génération occasionnelle de mots de passe uniques, le Générateur de Mots de Passe de UtilBoxx est privé, gratuit et s'exécute entièrement dans votre navigateur en utilisant une randomisation cryptographiquement sûre. Associez-le à un gestionnaire de mots de passe et vous avez 95 % de la sécurité dont vous avez besoin.

Les 5 % restants sont les passkeys, les clés de sécurité matérielles et une bonne sécurité opérationnelle. Mais commencez par maîtriser les bases.

Retour à tous les articles