Utilia
Back to blog
·5 min read

Comment créer un mot de passe fort : le guide NIST 2026

Les nouvelles directives NIST ont tout changé. La longueur prime sur la complexité. Les changements forcés sont contre-productifs. Voici ce qui rend vraiment un mot de passe fort en 2026.

sécurité des mots de passemot de passe fortdirectives NISTcybersécuritéconseils mot de passesécurité en ligne

La plupart des conseils sur les mots de passe disponibles en ligne sont faux. Pas légèrement faux — structurellement faux. Ils imposent des règles de complexité (majuscule ! symbole ! chiffre !) qui produisent des mots de passe comme P@ssw0rd1 — techniquement complexes, immédiatement devinables. Le National Institute of Standards and Technology américain a remanié ses directives en 2024. Voici ce qui compte vraiment.

L'élément le plus important : la longueur

La résistance d'un mot de passe aux attaques par force brute croît exponentiellement avec sa longueur. Ajouter un caractère ne rend pas la tâche de l'attaquant plus difficile — cela la rend exponentiellement plus difficile.

| Longueur | Minuscules uniquement | Majuscules + minuscules + chiffres + symboles | |---|---|---| | 8 caractères | Craqué en minutes | Heures | | 12 caractères | Jours | Années | | 16 caractères | Siècles | Plus long que l'univers | | 20+ caractères | Pratiquement inviolable | Pratiquement inviolable |

C'est pourquoi NIST SP 800-63B recommande désormais un minimum de 15 caractères — et indique que l'obligation de caractères spéciaux ou de majuscules ajoute de la friction sans améliorer significativement la sécurité.

Ce que disent vraiment les directives NIST 2024/2025

Les nouvelles directives ont inversé plusieurs décennies de conseils courants :

À faire :

  • Utiliser des mots de passe longs (15+ caractères minimum)
  • Utiliser un gestionnaire de mots de passe pour générer et stocker les mots de passe
  • Vérifier les mots de passe par rapport aux listes de mots de passe compromis connus
  • Autoriser le copier-coller dans les champs de mot de passe

À arrêter :

  • Forcer des changements périodiques de mot de passe (les utilisateurs ajoutent juste !1 au même mot de passe)
  • Exiger des règles de complexité spécifiques (les utilisateurs font le minimum : Motdepasse1!)
  • Questions de sécurité basées sur des informations personnelles
  • Authentification à deux facteurs uniquement par SMS

Le vrai problème : la réutilisation

La plus grande vulnérabilité en matière de mots de passe n'est pas les mots de passe faibles — c'est la réutilisation. Lorsqu'un site est compromis (et des violations se produisent constamment), chaque autre compte utilisant le même mot de passe est également compromis.

La solution est simple en principe : chaque compte reçoit un mot de passe unique et généré aléatoirement. Le défi est de s'en souvenir. C'est là qu'interviennent les gestionnaires de mots de passe et les générateurs.

Ce qui rend vraiment un mot de passe fort

Un mot de passe fort a deux propriétés :

1. Haute entropie — il est imprévisible. Une chaîne aléatoire de 16 caractères d'un pool de 94 caractères a environ 105 bits d'entropie. Un mot de passe « aléatoire » de 16 caractères choisi par un humain a typiquement 30–40 bits parce que les humains sont mauvais pour être vraiment aléatoires.

2. Unicité — jamais réutilisé entre comptes. Un mot de passe à 100 bits d'entropie réutilisé sur 10 sites offre une sécurité pratique plus faible que 10 mots de passe séparés à 80 bits.

Jeux de caractères et pourquoi ils comptent

Les mathématiques derrière la force des mots de passe : entropie = longueur × log₂(taille du pool)

| Jeu de caractères | Taille du pool | Bits par caractère | |---|---|---| | Chiffres uniquement (0–9) | 10 | 3,32 | | Lettres minuscules | 26 | 4,70 | | Majuscules + minuscules | 52 | 5,70 | | Alphanumériques | 62 | 5,95 | | ASCII complet (tous types) | 92–95 | 6,48–6,57 |

Chaque type de caractère supplémentaire ajoute moins d'un bit par caractère. Chaque caractère supplémentaire ajoute la pleine valeur bits-par-caractère. La longueur est toujours plus efficace que la complexité.

Un mot de passe de 20 caractères minuscules (94 bits) est plus fort qu'un mot de passe de 12 caractères utilisant tous les types de caractères (78 bits).

Générer un mot de passe fort maintenant — 8 à 64 caractères, aléatoire cryptographiquement, s'exécute entièrement dans votre navigateur.

Questions fréquemment posées

Quelle doit être la longueur d'un mot de passe en 2026 ?

Le NIST recommande un minimum de 15 caractères. Pour les comptes importants (e-mail, banque, travail), utilisez 20 caractères ou plus. La longueur compte bien plus que la complexité des types de caractères.

Ai-je besoin de majuscules, chiffres et symboles ?

Ils aident — chaque type de caractère élargit le pool — mais ajouter de la longueur est toujours plus efficace. Un mot de passe de 20 caractères minuscules est plus fort qu'un mot de passe de 12 caractères avec une complexité maximale.

À quelle fréquence dois-je changer mes mots de passe ?

La directive actuelle du NIST : uniquement lorsqu'il y a une raison de croire qu'un mot de passe a été compromis, ou lorsqu'il apparaît dans une base de données de violations. Les changements périodiques forcés produisent des mots de passe plus faibles.

Est-il sécurisé d'utiliser un générateur de mots de passe en ligne ?

Oui, si le générateur s'exécute entièrement dans votre navigateur. Un générateur qui envoie votre mot de passe à un serveur n'est pas digne de confiance. Les générateurs basés sur navigateur utilisent crypto.getRandomValues() — rien ne quitte votre appareil.