Qu'est-ce qu'un bon mot de passe en 2026 ?

Les recommandations modernes privilégient la longueur sur la complexité. Un bon mot de passe en 2026 : au moins 12 caractères (16+ pour comptes critiques), unique par service, généré aléatoirement ou sous forme de passphrase (4-6 mots aléatoires enchaînés comme "cerise-aimant-voyage-45"). Une passphrase de 4 mots est souvent plus forte qu'un mot de passe court avec symboles compliqués, et plus mémorisable. Le NIST (NIST SP 800-63B, 2020) et l'ANSSI ont abandonné plusieurs anciennes règles : ne plus imposer rotation périodique sans raison (pousse aux patterns prévisibles comme Été2024 puis Hiver2024), ne plus exiger de complexité absurde (X majuscules + Y chiffres + Z symboles), plutôt vérifier le mot de passe contre des listes de passwords compromis (HaveIBeenPwned). Important : un mot de passe fort seul ne suffit pas en 2026. Il doit être : unique par service (utiliser un gestionnaire de mots de passe), accompagné d'une authentification multi-facteurs (MFA), vérifié périodiquement contre les fuites connues. La tendance de fond va vers la suppression des mots de passe via passkeys (FIDO2/WebAuthn).

Pourquoi utiliser un gestionnaire de mots de passe ?

Utiliser un gestionnaire de mots de passe est recommandé unanimement par l'ANSSI, la CNIL, le NIST, et la communauté cyber depuis des années. Raisons principales. Unicité par service : la réutilisation des mots de passe est la cause #1 de compromission de comptes. Si le password leak d'un site (inévitable à long terme), tous les autres services où il est réutilisé sont compromis (credential stuffing). Un gestionnaire permet d'avoir un mot de passe fort et différent pour chaque service. Longueur et aléatoire : le gestionnaire génère des mots de passe de 16-32 caractères vraiment aléatoires, impossibles à mémoriser mais aussi impossibles à deviner. Remplissage automatique anti-phishing : le gestionnaire ne remplit que sur le bon domaine. Si vous cliquez sur un lien de phishing paypal-securité.com, il ne proposera pas votre mot de passe PayPal — signal fort. Audit des mots de passe : détection des mots de passe faibles, réutilisés, compromis (intégration HaveIBeenPwned). Partage sécurisé : possible de partager un mot de passe à un collègue via le gestionnaire sans l'envoyer en clair. Gestionnaires recommandés : 1Password (payant, référence), Bitwarden (open source, gratuit ou payant), Proton Pass, KeePassXC (offline). Éviter les gestionnaires navigateurs de base (moins robustes) sauf usage personnel simple.

Faut-il changer ses mots de passe régulièrement ?

Non, sauf raison particulière. La recommandation a changé depuis 2017. Le NIST (SP 800-63B, mise à jour 2017 puis 2020) et l'ANSSI ne recommandent plus la rotation périodique systématique des mots de passe. Raisons de ce changement : forcer les changements réguliers (tous les 90 jours classique) pousse les utilisateurs à créer des mots de passe faibles et prévisibles (Été2024, Automne2024, Hiver2024, Printemps2025), les gens choisissent des variations minimales entre anciens et nouveaux mots de passe (Password1 → Password2), la rotation imposée frustre les utilisateurs qui écrivent leurs mots de passe sur des post-its ou dans des fichiers non sécurisés, les contournements humains annulent les bénéfices théoriques. Recommandations actuelles : mot de passe stable et fort + MFA est préférable à rotation fréquente + mot de passe faible. Changer uniquement en cas de : suspicion de compromission (incident interne, fuite détectée, alerte HaveIBeenPwned), départ d'une personne ayant eu accès, période après stage ou intervention tierce. Cette évolution s'applique aussi en entreprise : la rotation imposée tous les 90 jours n'est plus considérée comme une bonne pratique. Auditer plutôt la robustesse et surveiller les fuites. Exception : mots de passe partagés ou techniques (comptes de service) à rotation planifiée.

Les passkeys vont-elles remplacer les mots de passe ?

Probablement, mais progressivement sur 5-10 ans. Les passkeys (standard FIDO2/WebAuthn) sont une alternative moderne qui remplace mot de passe + MFA par une paire de clés cryptographiques stockée sur l'appareil de l'utilisateur. Avantages par rapport aux mots de passe : pas de secret partagé à voler (le serveur ne stocke qu'une clé publique, inutilisable seule), résistance au phishing par design (la clé est liée à un domaine spécifique, ne fonctionne pas sur un site frauduleux ressemblant), pas de brute force possible, pas de credential stuffing possible, pas de fuite massive possible. Adoption en cours : Apple, Google, Microsoft ont intégré les passkeys en 2022-2023. Grands services qui supportent : Apple ID, Google Accounts, Microsoft, GitHub, Amazon, PayPal, WhatsApp, eBay, Best Buy, des milliers de services en croissance rapide. Passkeys synchronisées via iCloud Keychain (Apple), Google Password Manager, 1Password, Bitwarden. Limites actuelles : adoption encore partielle (beaucoup de services n'ont pas encore migré), complexité perçue par utilisateurs peu techniques, problématiques d'inter-opérabilité entre écosystèmes (Apple vs Google vs Microsoft), période de transition longue où coexistent mots de passe et passkeys. Mais la tendance est claire : dans 5-10 ans, les mots de passe seront probablement une technologie historique, remplacée par passkeys pour l'authentification grand public et professionnelle.

Mot de passe : bonnes pratiques, gestion et alternatives modernes

Origine: MIT CTSS en 1961 — premier système informatique avec mots de passe
Longueur recommandée 2026: 12 caractères minimum, 16+ pour comptes critiques
Top 3 des plus utilisés: 123456, password, qwerty — inchangés depuis des années
Pourcentage de réutilisation: 60-80% des utilisateurs réutilisent leurs mots de passe
Nombre moyen par utilisateur: 100-200 comptes distincts pour un adulte connecté
Remplaçant prometteur: Passkeys (FIDO2/WebAuthn) — adoption en cours

01 — DéfinitionQu'est-ce qu'un mot de passe ?

Un mot de passe est une chaîne de caractères secrète utilisée pour prouver son identité lors de l'accès à un système informatique. C'est le facteur d'authentification de type « ce que vous savez » (vs « ce que vous avez » pour une clé/passkey, « ce que vous êtes » pour la biométrie).

Une invention de 1961

Le mot de passe informatique remonte au MIT en 1961 avec le système CTSS (Compatible Time-Sharing System). Fernando Corbató est crédité de l'idée initiale pour permettre le partage d'un ordinateur entre plusieurs utilisateurs sans mélange de fichiers. L'ironie : le premier vol de mot de passe documenté a eu lieu quasi-immédiatement en 1962, quand un utilisateur a réussi à accéder au fichier des mots de passe.

Évolution historique

1961 : premier système à mots de passe (CTSS, MIT).
1973 : Robert Morris et Ken Thompson introduisent le hachage + salt dans Unix — fondateur.
Années 1990 : explosion du web, chaque service demande un compte.
Années 2000 : prolifération des comptes, apparition des premiers gestionnaires de mots de passe.
Années 2010 : fuites massives (LinkedIn 2012, Yahoo 2013, Adobe 2013, etc.) révélant l'ampleur de la réutilisation.
2015-2020 : généralisation du MFA, changement de doctrine NIST/ANSSI.
2022+ : lancement et adoption des passkeys — début de la fin annoncée des mots de passe.

Le paradoxe actuel

Le mot de passe est simultanément :

Universel : encore utilisé sur la quasi-totalité des services.
Fondamentalement défaillant : réutilisation massive, vulnérable au phishing, au brute force, au credential stuffing.
En transition : les passkeys arrivent mais l'adoption prendra 5-10 ans.
Nécessaire à renforcer via MFA, gestionnaires, longueur.

Données marquantes

Un adulte connecté gère en moyenne 100-200 comptes distincts.
60-80% des utilisateurs réutilisent le même mot de passe sur plusieurs services.
Les mots de passe les plus courants n'ont pas changé depuis 10 ans : 123456, password, qwerty, azerty, admin.
La base RockYou2024 contient ~10 milliards de mots de passe uniques issus de fuites.

Le mot de passe est une invention de 1961 qui a été poussée bien au-delà de ce pour quoi elle avait été conçue. Son successeur est là (les passkeys), mais la transition durera une décennie. D'ici là : mots de passe longs, uniques, stockés dans un gestionnaire, renforcés par du MFA. C'est la seule stratégie viable.

02 — Bonnes pratiquesQu'est-ce qu'un bon mot de passe

Critères modernes

Longueur : 12 caractères minimum, 16+ pour comptes critiques (email principal, banque, gestionnaire de mots de passe).
Unicité : un mot de passe différent par service (impossible sans gestionnaire).
Aléatoire ou passphrase : générer aléatoirement via un gestionnaire, ou utiliser une passphrase de 4-6 mots.
Non compromis : vérifier contre HaveIBeenPwned.
Jamais réutilisé d'un service à un autre.
Associé à du MFA partout où c'est possible.

Longueur vs complexité

Le NIST et l'ANSSI privilégient maintenant la longueur sur la complexité complexe (majuscules + minuscules + chiffres + symboles imposés).

Un mot de passe de 16 caractères minuscules aléatoires est plus fort que 8 caractères avec tous les types de symboles.
L'exigence de complexité pousse aux patterns prévisibles (P@ssword1, Motdepasse!) facilement cassés.
Les attaques modernes (rules dans Hashcat) intègrent les mutations courantes : remplacer « a » par « @ », « e » par « 3 », ajouter « 1 » ou « ! » en fin. Inefficace contre brute force moderne.

Les passphrases — la recommandation moderne

Une passphrase est une suite de 4-6 mots aléatoires enchaînés. Avantages :

Mémorisable (contrairement à kT9$mP2@wX).
Très longue : 20-30 caractères.
Très forte : 4 mots aléatoires d'un dictionnaire de 10 000 = 10^16 combinaisons (suffisant).
Facile à taper.

Exemples : cerise-aimant-voyage-45, biblio.vinaigre.piscine.corail, NuageCamionFougèreJaune. Attention : les mots doivent être vraiment aléatoires, pas choisis (un être humain qui choisit 4 mots tombe dans des patterns prévisibles liés à ses centres d'intérêt).

Méthodes de génération

Gestionnaire de mots de passe : génère des mots de passe aléatoires de 16-32 caractères. Recommandé pour 90% des cas.
Diceware : méthode qui utilise des dés pour sélectionner aléatoirement des mots dans un dictionnaire. Adaptée pour mots de passe maîtres (un seul à retenir).
Méthode ANSSI : prendre les premières lettres d'une phrase facile à retenir (Un Tiens Vaut Mieux Que Deux Tu L'auras = UtVmQ2tLa). Déconseillé : les attaquants connaissent ces patterns.
Aléatoire pur : outils comme pwgen, openssl rand.

Erreurs classiques à éviter

Informations personnelles : nom, date de naissance, prénom enfants, nom chien.
Mots du dictionnaire seuls : cassés rapidement par attaque par dictionnaire.
Séquences claviers : qwerty, azerty, 1qaz2wsx.
Patterns dates : Été2024!, Hiver2025@.
Substitutions prévisibles : P@ssw0rd, S3cur1t3.
Réutilisation : même mot de passe sur plusieurs services.
Post-it sur écran ou fichier Excel en clair.

Mots de passe maîtres

Le mot de passe qui protège votre gestionnaire est le plus important de tous. Exigences renforcées :

20+ caractères ou passphrase de 6+ mots aléatoires.
Jamais utilisé ailleurs.
Jamais partagé.
Doit être mémorisable (pas dans un autre gestionnaire).
Compléter avec MFA sur le gestionnaire.

03 — GestionnaireLa solution moderne

Pourquoi utiliser un gestionnaire

Recommandé unanimement par l'ANSSI, la CNIL, le NIST. Impossible de gérer manuellement 100+ mots de passe uniques et forts. Un gestionnaire apporte :

Génération de mots de passe aléatoires (16-32 caractères).
Stockage chiffré (chiffrement end-to-end avec votre mot de passe maître).
Remplissage automatique sur les bons domaines uniquement (protection anti-phishing).
Synchronisation entre appareils.
Audit : détection des mots de passe faibles, réutilisés, compromis.
Partage sécurisé à des proches ou collègues.
Stockage d'autres secrets : cartes bancaires, documents, notes.
Intégration passkeys : la plupart stockent aussi les passkeys.

Solutions recommandées

1Password (payant, ~3-8€/mois) : référence premium, excellente UX, entreprise mature. Particulièrement pratique pour les familles et petites équipes.
Bitwarden (gratuit / ~1-3€/mois premium) : open source, audité, version self-hosted possible (Vaultwarden). Excellent rapport qualité-prix.
Proton Pass : solution Proton (Suisse), intégrée à la suite Proton (Mail, VPN). Gratuit et premium.
KeePassXC : gratuit, open source, base de données locale (pas de cloud). Pour utilisateurs techniques ou allergiques au cloud.
Dashlane : commercial, fonctionnalités avancées (scan dark web).
NordPass : par NordVPN.

Gestionnaires navigateur

Les gestionnaires intégrés aux navigateurs (Chrome Password Manager, Firefox Lockwise, Safari Keychain, Edge) ont progressé mais restent moins complets que les solutions dédiées :

Lié à un écosystème (compte Google, Apple, Microsoft).
Moins de fonctionnalités avancées (partage, audit, secrets non-password).
Exposition en cas de compromission du compte navigateur.
Acceptable pour usage personnel simple, insuffisant en entreprise.

Gestionnaires d'entreprise

Pour les organisations :

1Password Business : leader.
Bitwarden Enterprise : option open source.
Keeper Security : orienté enterprise.
HashiCorp Vault : plutôt pour secrets techniques (API keys, credentials infra).
CyberArk, BeyondTrust, Delinea : PAM pour comptes à privilèges.

Sécurité des gestionnaires

Les gestionnaires chiffrent tout localement avec votre mot de passe maître. Même si le fournisseur est compromis, les données restent chiffrées. Incidents notables :

LastPass (2022-2023) : plusieurs breaches, exfiltration de coffres chiffrés. Montré la difficulté même pour un acteur majeur. Beaucoup d'utilisateurs ont migré vers 1Password/Bitwarden depuis.
Les autres gestionnaires majeurs n'ont pas eu d'incident similaire.
L'open source (Bitwarden, KeePassXC) permet l'audit indépendant du code.

Choisir un gestionnaire mature et audité, avec un mot de passe maître fort et MFA activé. Le risque de ne pas utiliser de gestionnaire (réutilisation + mots de passe faibles) est nettement supérieur au risque d'en utiliser un.

04 — MenacesPourquoi le mot de passe seul ne suffit plus

Phishing

L'utilisateur entre lui-même son mot de passe sur un site frauduleux ressemblant au vrai. Le mot de passe le plus fort du monde ne protège pas contre le phishing. Variantes modernes :

Phishing classique par email.
Spear phishing ciblé.
Smishing par SMS.
Vishing par appel.
Kits Adversary-in-the-Middle modernes qui capturent même le MFA (Evilginx, Tycoon 2FA).

Brute force et password spraying

Tentatives massives de mots de passe. Voir notre fiche brute force.

Attaques en ligne : ralentis par rate limiting et CAPTCHA.
Attaques hors ligne contre hashes fuités : efficaces sur mots de passe courts.
Password spraying : un mot de passe probable sur beaucoup de comptes — contourne le lockout par compte.

Credential stuffing

Utilisation de credentials issus de fuites d'autres services. Exploite la réutilisation des mots de passe. Voir credential stuffing. Efficace parce que 60-80% des utilisateurs réutilisent — solution : un mot de passe unique par service via gestionnaire.

Fuites massives

Chaque année, des milliards de paires email + password fuitent. Quelques références :

Yahoo 2013 : 3 milliards de comptes.
LinkedIn 2012/2016 : 700M.
Adobe 2013 : 150M.
MySpace 2016 : 360M.
RockYou2024 : compilation de ~10 milliards de mots de passe.
Collection #1-5 (2019) : 2+ milliards de paires uniques.

Vérifier ses propres fuites sur haveibeenpwned.com (créé par Troy Hunt). Intégré à Firefox Monitor, Apple Keychain, 1Password Watchtower, Bitwarden.

Keyloggers et malware

Malwares spécialisés dans le vol de credentials :

Infostealers : RedLine, Raccoon, Vidar, Lumma — volent les mots de passe stockés dans les navigateurs, cookies de session, crypto wallets. Industrialisation avec marketplaces dédiés.
Keyloggers : enregistrent les frappes clavier.
Clipboard hijackers : surveillent le presse-papier.
Ces malwares alimentent les combolists vendues sur le dark web.

Social engineering

Obtenir un mot de passe par manipulation : pretexting, fraude au président, prétendu support IT qui demande le mot de passe, ingénierie sociale en entreprise. Le mot de passe est donné volontairement.

Compromission serveur

Si le serveur hébergeant les comptes est compromis, les hashes de mots de passe peuvent être exfiltrés. La protection dépend de :

Algorithme de hashage : bcrypt, Argon2id résistent. MD5, SHA-1 sans sel = catastrophique.
Sel unique par utilisateur : empêche les rainbow tables.
Pepper : secret serveur additionnel.

Voir notre fiche brute force pour les vitesses de cracking selon algorithme.

Attaques contre le MFA

Même avec MFA, des attaques existent :

MFA fatigue : spam de notifications push jusqu'à ce que l'utilisateur clique accepter par lassitude.
SIM swapping : vol de la ligne téléphonique pour recevoir les SMS OTP.
Adversary-in-the-Middle : Evilginx, EvilProxy, Tycoon 2FA — kits qui capturent tokens de session post-MFA.

D'où l'importance de privilégier : passkeys, clés matérielles FIDO2, plutôt que SMS.

05 — RecommandationsANSSI et NIST

Guide d'hygiène ANSSI

L'ANSSI publie des recommandations régulièrement actualisées. Version résumée 2024-2026 :

Mots de passe longs et uniques : 12+ caractères minimum, jamais réutilisés.
Gestionnaire de mots de passe obligatoire pour usage professionnel et personnel.
MFA partout où c'est possible, notamment emails principaux et services critiques.
Pas de rotation périodique sans raison.
Vérification contre les fuites (HaveIBeenPwned ou équivalent).
Protection des comptes à privilèges via PAM.
Transition vers passkeys quand disponibles.

NIST SP 800-63B (US)

Le NIST Digital Identity Guidelines, édition 2017 puis mises à jour 2020 et 2024, a été le premier à changer la doctrine des mots de passe :

Longueur minimale 8 caractères, fortement recommandé 12+.
Pas de complexité imposée (majuscules, chiffres, symboles obligatoires).
Pas de rotation périodique sans raison.
Pas de questions de sécurité (date de naissance, nom de jeune fille de la mère) — facilement devinables via OSINT.
Vérification contre dictionnaires de mots de passe compromis.
Autoriser les caractères Unicode (émojis inclus).
Ne pas imposer d'indices de mots de passe.
Authentification forte (MFA) pour niveaux d'assurance élevés.

Implications pour les entreprises

Ce changement de doctrine a des conséquences pratiques :

Politique de mots de passe à mettre à jour : ne plus imposer la rotation 90 jours systématique.
Active Directory : révision des GPO mots de passe.
SaaS enterprise : alignement sur les recommandations NIST.
Formation : expliquer aux utilisateurs pourquoi la rotation n'est plus imposée.
Audit : privilégier le contrôle des fuites et de la force plutôt que rotation formelle.

Cas particuliers

Comptes techniques et de service : rotation planifiée restante utile (pas d'utilisateur humain).
Comptes à privilèges : gestion via PAM avec rotation automatique.
Clés API et tokens : rotation planifiée ou par usage.
Certificats : durée de vie limitée par design (1 an Let's Encrypt).

Ce que NIST et ANSSI recommandent de NE PAS faire

Imposer une rotation tous les 90 jours (pousse aux patterns).
Imposer 4 types de caractères (crée des patterns prévisibles).
Interdire de copier-coller dans les champs password (force à taper = facile à observer, empêche l'usage des gestionnaires).
Tronquer les mots de passe à une longueur courte (signal d'implémentation défaillante).
Imposer des questions de sécurité à réponses devinables.
Envoyer des mots de passe en clair par email.
Stocker les mots de passe en clair (jamais).
Hasher avec MD5 ou SHA-1 (obsolète, utiliser bcrypt/Argon2id).

06 — AvenirLa fin des mots de passe ?

Passkeys — le remplaçant crédible

Les passkeys (standard FIDO2/WebAuthn) sont une alternative moderne qui remplace mot de passe + MFA par une paire de clés cryptographiques.

Avantages par rapport aux mots de passe

Pas de secret partagé à voler : le serveur ne stocke que la clé publique, inutilisable seule.
Résistance au phishing par design : la clé est liée à un domaine spécifique, ne fonctionne pas sur un site frauduleux.
Pas de brute force possible : clé cryptographique 256 bits.
Pas de credential stuffing : pas de réutilisation possible.
Pas de fuite massive possible : clés publiques inexploitables.
UX simplifiée : déverrouillage par biométrie ou PIN, une seule action.

Adoption en cours

2022 : Apple annonce le support passkeys.
2023 : Google, Microsoft, services majeurs ajoutent le support.
2024-2026 : expansion massive à des milliers de services.

Services majeurs qui supportent déjà les passkeys : Apple ID, Google Accounts, Microsoft, GitHub, Amazon, PayPal, WhatsApp, eBay, Best Buy, 1Password, Bitwarden, X (Twitter), et en croissance rapide.

Stockage des passkeys

iCloud Keychain (Apple) : synchronisation automatique Apple devices.
Google Password Manager : écosystème Android/Chrome.
Windows Hello + Microsoft accounts.
Gestionnaires dédiés : 1Password, Bitwarden, Dashlane — stockent les passkeys et les synchronisent.
Clés matérielles : YubiKey, Titan — résistance physique supplémentaire.

Limites actuelles des passkeys

Adoption partielle : beaucoup de services n'ont pas encore migré.
Interopérabilité entre écosystèmes : Apple vs Google vs Microsoft — en amélioration mais pas parfaite.
Complexité perçue par utilisateurs peu techniques.
Perte de l'appareil : procédures de récupération importantes.
Coexistence avec mot de passe encore nécessaire pour compatibilité.

Autres approches sans mot de passe

Magic links : lien unique envoyé par email (Slack, Medium).
OTP par email/SMS : code unique usage, mais vulnérable SIM swapping.
Push notifications : approbation depuis une app dédiée.
Biométrie : souvent facteur complémentaire, pas principal.
Comportementale : recherche sur frappe clavier, usage — émergent.

Horizon temporel

Transition probable sur 5-10 ans :

2025-2027 : adoption massive des passkeys sur services grand public.
2027-2030 : coexistence mot de passe + passkey sur la plupart des services.
2030+ : mots de passe progressivement retirés des nouveaux services, conservés pour legacy.
2035+ : mots de passe probablement marginalisés.

En attendant : utiliser les passkeys là où c'est disponible, gestionnaire + MFA ailleurs.

07 — FAQQuestions fréquentes

Quel est le mot de passe le plus utilisé en 2026 ?

Les études annuelles (NordPass, Specops) montrent que le top des mots de passe les plus utilisés a peu évolué depuis 10 ans. Top récurrent : 123456, password, qwerty, 123456789, 12345, admin, azerty, motdepasse, password1, 000000. Ces mots de passe tombent en premières tentatives de n'importe quelle attaque par dictionnaire. Constat déprimant : malgré des années de sensibilisation, les mauvaises habitudes persistent. Solution : bloquer côté serveur les mots de passe du top 10 000/100 000 les plus courants via intégration HaveIBeenPwned API ou listes dédiées lors du choix du mot de passe.

Dois-je utiliser une phrase de passe ou un mot de passe aléatoire ?

Dépend du contexte. Pour les mots de passe que vous devez mémoriser (mot de passe maître du gestionnaire, session OS) : passphrase de 4-6 mots aléatoires. Mémorisable, très forte, facile à taper. Pour tous les autres mots de passe (services quotidiens) : mot de passe aléatoire généré par le gestionnaire de 16-32 caractères. Vous n'avez pas besoin de les mémoriser — le gestionnaire remplit à votre place. Règle pratique : 5-10 mots de passe à mémoriser (passphrases), 100+ dans le gestionnaire (aléatoires).

Mon entreprise impose encore le changement tous les 90 jours — pourquoi ?

Beaucoup d'entreprises n'ont pas encore mis à jour leurs politiques. Raisons de ce retard : compliance sectorielle ancienne (certains auditeurs PCI DSS historiques demandaient la rotation), conservatisme (« on a toujours fait ça »), méconnaissance des nouvelles recommandations NIST/ANSSI, inertie des politiques RH et de la documentation, audits internes qui n'ont pas évolué. Évolution en cours : de plus en plus d'entreprises modernisent leur politique. PCI DSS v4.0 (2022) n'impose plus la rotation si MFA actif. Si votre entreprise l'impose encore, vous pouvez sensibiliser votre RSSI avec les références NIST et ANSSI. Entre-temps, utilisez un gestionnaire pour gérer facilement les changements imposés.

Les mots de passe biométriques (empreinte, visage) sont-ils sûrs ?

La biométrie n'est pas un mot de passe — c'est un déverrouillage local d'un secret stocké sur l'appareil. Apple Touch ID/Face ID, Windows Hello, Android : vous débloquez l'accès local à vos passkeys/mots de passe/clés. La biométrie ne quitte jamais l'appareil (sécurisée par enclave matérielle : Secure Enclave iOS, TEE Android, TPM Windows). Avantages : commodité, rapidité. Limites : ne remplace pas l'authentification côté serveur. Si la base de l'appli est compromise, la biométrie ne protège pas. Ne jamais utiliser la biométrie comme seul facteur pour des services critiques — toujours en complément d'un facteur cryptographique (passkey, clé matérielle).

Un mot de passe peut-il être « incassable » ?

Pratiquement oui, pour le brute force. Un mot de passe vraiment aléatoire de 20+ caractères = 10^35 combinaisons, infaisable à casser même avec tous les GPU de la planète pendant des siècles. Mais : « incassable par brute force » ne veut pas dire « incassable » : phishing, keylogger, compromission serveur, social engineering contournent la force du mot de passe lui-même. D'où la nécessité du MFA et des passkeys. La force du mot de passe est une condition nécessaire, pas suffisante, de la sécurité.

Que faire si un de mes mots de passe a fuité ?

Procédure : 1) Changer immédiatement le mot de passe du service concerné. 2) Changer aussi tous les autres services où vous auriez réutilisé ce mot de passe (honnêtement, quels qu'ils soient). 3) Activer le MFA sur tous les comptes importants si pas déjà fait. 4) Surveiller les comptes pour activités suspectes (transactions, mails envoyés, connexions inhabituelles). 5) Vérifier sur haveibeenpwned.com l'ensemble de vos adresses email. 6) Migrer vers un gestionnaire si pas déjà fait pour ne plus réutiliser. 7) Pour les services financiers : surveiller transactions, envisager changement de numéro de carte, alertes bancaires.