Comment choisir un bon mot de passe en 2026 ?
Malgré une sensibilisation croissante à la cybersécurité, les utilisateurs conservent des habitudes risquées en matière de mots de passe. En 2026, les combinaisons trop courtes, trop évidentes ou réutilisées sur plusieurs services restent parmi les premières causes de compromission de comptes. Comment choisir un bon mot de passe, éviter les erreurs classiques et renforcer sa sécurité numérique ?
Les classements annuels de NordPass sur les mots de passe les plus utilisés montrent une constante : les combinaisons simples restent massivement employées. Les suites numériques, les mots du clavier, les prénoms, les termes affectifs ou les mots de passe par défaut continuent d’apparaître dans les fuites de données. Dans un contexte où les attaques automatisées, les logiciels malveillants, le phishing et les bases de données compromises circulent largement, le mot de passe reste un point d’entrée critique.
À l’IIM, les enjeux liés à la sécurité numérique, au développement, aux systèmes d’information, à l’IA et à la transformation digitale sont abordés dans l’axe Coding & Digital Innovation. Les questions d’authentification, de protection des données, de bonnes pratiques techniques et de cybersécurité font partie des compétences à comprendre pour évoluer dans les métiers du numérique, du développement et de l’informatique.
Les mots de passe les plus utilisés : des habitudes encore risquées
Les mots de passe les plus fréquents restent très prévisibles. En France, les listes publiées ces dernières années font apparaître des combinaisons comme “123456”, “123456789”, “azerty”, “admin”, “password”, “qwerty” ou encore des mots simples du quotidien. Ces choix ont un point commun : ils sont faciles à retenir, mais aussi faciles à deviner, tester ou retrouver dans des bases de données déjà compromises.
Un mot de passe faible peut être cassé très rapidement lorsqu’il est court, courant ou déjà exposé dans une fuite de données. Les attaquants n’essaient pas forcément les combinaisons une par une à la main : ils utilisent des dictionnaires, des listes de mots de passe connus, des attaques automatisées, des outils de credential stuffing ou des techniques de force brute avec une puissance de calcul élevée.
- 123456
- 123456789
- azerty
- admin
- password
- qwerty
- 12345678
- azertyuiop
- loulou
- doudou
Ces exemples montrent que la sécurité d’un compte dépend rarement d’un seul critère. Un mot de passe peut sembler personnel, mais devenir vulnérable s’il est court, réutilisé, lié à une information publique ou construit sur un modèle trop évident.
Les mots de passe faibles s’invitent aussi au bureau
Les mauvaises habitudes ne concernent pas uniquement les comptes personnels. Dans un cadre professionnel, les mots de passe faibles restent un risque majeur pour les entreprises : messageries, outils collaboratifs, plateformes cloud, logiciels métiers, CRM, back-offices, réseaux internes ou comptes administrateurs.
Une même combinaison utilisée sur un compte personnel et un compte professionnel crée un effet domino. Si l’un des services est compromis, les identifiants peuvent être testés automatiquement ailleurs. Cette pratique, appelée credential stuffing, exploite la réutilisation des mots de passe entre plusieurs plateformes.
Pour les entreprises, un mot de passe faible peut ouvrir la voie à une fuite de données, une usurpation d’identité, une intrusion dans un système d’information, un vol de documents, une fraude ou une attaque plus large. La cybersécurité repose donc autant sur les outils techniques que sur les pratiques quotidiennes des utilisateurs.
Comment créer un mot de passe fort en 2026 ?
Un bon mot de passe est d’abord un mot de passe long, unique et difficile à deviner. Pendant longtemps, les recommandations insistaient surtout sur la complexité : majuscules, minuscules, chiffres, caractères spéciaux. Ces critères restent utiles, mais la longueur et l’unicité jouent un rôle central.
Un mot de passe court avec des symboles peut être moins robuste qu’une phrase de passe longue et imprévisible. En 2026, une bonne pratique consiste à privilégier des combinaisons longues, impossibles à deviner et différentes pour chaque compte.
- Longueur du mot de passe
Un mot de passe robuste doit être suffisamment long. Une phrase de passe de 16 caractères ou plus apporte souvent un meilleur niveau de sécurité qu’un mot court modifié avec quelques symboles. - Unicité pour chaque compte
Chaque service doit disposer d’un mot de passe différent. Si un compte est compromis, les autres restent mieux protégés. - Éviter les évidences
Les suites de chiffres, prénoms, dates de naissance, noms d’animaux, clubs sportifs, villes, marques, personnages ou mots du clavier sont à éviter. Les attaques par dictionnaire ciblent précisément ces modèles. - Privilégier les phrases de passe
Une phrase longue, personnelle mais non évidente, peut être plus facile à retenir et plus difficile à casser. L’objectif n’est pas de créer une phrase connue, mais une combinaison longue et imprévisible. - Utiliser un gestionnaire de mots de passe
Un gestionnaire permet de créer, stocker et utiliser des mots de passe uniques et complexes pour chaque compte, sans devoir tous les mémoriser.
Exemples de mots de passe forts et de phrases de passe
Un mot de passe fort ne doit pas reprendre une phrase célèbre, un proverbe connu ou une information personnelle facile à retrouver. L’idéal est d’utiliser une combinaison longue, personnelle, non publiée et propre à un seul compte.
Exemple de méthode : choisir une phrase absurde ou très personnelle, puis l’adapter avec quelques variations.
“Trois nuages rangent un vélo orange sous la lune” peut devenir une phrase de passe longue, plus robuste qu’un mot court enrichi artificiellement.
Autre méthode : utiliser les premières lettres d’une phrase personnelle, ajouter des séparateurs, des chiffres ou des symboles, puis réserver cette combinaison à un seul service.
Par exemple, la phrase “Mon vieux carnet bleu reste dans le tiroir depuis 2019” pourrait devenir “MvCbRdLtD2019”. Une version encore plus robuste peut ajouter des séparateurs ou allonger la phrase. L’essentiel reste de créer une combinaison qui ne soit pas évidente, pas réutilisée et pas liée à des informations publiques.
Les bonnes habitudes pour sécuriser ses mots de passe
La création d’un bon mot de passe n’est qu’une partie de la protection. Les usages comptent tout autant : stockage, renouvellement, authentification multifacteur, vigilance face au phishing et contrôle des fuites de données.
Utiliser un mot de passe différent pour chaque compte
La réutilisation est l’une des erreurs les plus fréquentes. Un même mot de passe utilisé sur une messagerie, un réseau social, une plateforme e-commerce et un outil professionnel augmente fortement le risque. Si l’un des services subit une fuite, tous les autres comptes deviennent exposés.
Activer l’authentification multifacteur
L’authentification multifacteur ajoute une barrière supplémentaire : application d’authentification, clé de sécurité, notification validée, code temporaire ou biométrie selon les services. Même si le mot de passe est compromis, l’accès au compte devient plus difficile.
Les SMS restent parfois proposés, mais les applications d’authentification ou les clés de sécurité offrent généralement un meilleur niveau de protection. Le choix dépend du service utilisé, du niveau de risque et des options disponibles.
Utiliser un gestionnaire de mots de passe
Un gestionnaire de mots de passe permet de générer des combinaisons longues et uniques, puis de les stocker dans un coffre chiffré. Cette solution réduit la tentation de réutiliser les mêmes mots de passe ou de choisir des combinaisons simples.
Elle facilite aussi l’identification de mots de passe faibles, anciens, dupliqués ou exposés dans des fuites. Pour un usage personnel comme professionnel, le gestionnaire devient un outil de base de l’hygiène numérique.
Surveiller les fuites de données
Un mot de passe peut être robuste au moment de sa création, puis devenir vulnérable s’il apparaît dans une fuite de données. Certains services et gestionnaires alertent lorsqu’une adresse e-mail ou un identifiant est associé à une fuite connue. Dans ce cas, le mot de passe concerné doit être remplacé rapidement, surtout s’il a été réutilisé ailleurs.
Éviter les changements trop fréquents sans raison
Changer régulièrement un mot de passe peut sembler une bonne pratique, mais des renouvellements trop fréquents poussent souvent les utilisateurs à créer des variantes faibles : “motdepasse2025”, “motdepasse2026”, “Entreprise01”, “Entreprise02”. Un changement est surtout nécessaire lorsqu’un mot de passe est faible, partagé, exposé, réutilisé ou compromis.
Un peu de cryptographie
Les avancées en cryptographie et en puissance de calcul influencent directement la sécurité des mots de passe. Les cartes graphiques, les clusters informatiques et les bases de données de mots de passe compromis permettent d’effectuer un très grand nombre de tentatives en peu de temps. Un mot de passe simple comme “123456” peut être compromis instantanément.
Un mot de passe court composé uniquement de chiffres offre une protection très faible. À l’inverse, une combinaison longue, unique et composée de plusieurs types de caractères augmente fortement le temps nécessaire à une attaque par force brute.
Les mots de passe ne sont généralement pas stockés en clair par les services sérieux. Ils sont transformés par des fonctions de hachage. Des algorithmes comme bcrypt ou Argon2 sont conçus pour ralentir les attaques en rendant chaque tentative plus coûteuse en calcul. Le niveau de sécurité dépend toutefois de la qualité du mot de passe, de la configuration utilisée et de la protection globale du système.
L’authentification multifacteur complète cette protection. Elle réduit le risque qu’un mot de passe volé suffise à prendre le contrôle d’un compte. Dans les environnements professionnels, elle devient un élément essentiel de la sécurité des accès.
Combien de temps faut-il à un pirate pour trouver votre mot de passe ?
Et pour le futur des mots de passe ?
Les mots de passe ne disparaissent pas du jour au lendemain, mais leur rôle évolue. Les passkeys, l’authentification biométrique, les clés de sécurité et les méthodes sans mot de passe progressent sur de nombreuses plateformes. Leur objectif : réduire la dépendance aux secrets mémorisés par l’utilisateur, souvent faibles, réutilisés ou exposés au phishing.
Les passkeys reposent sur la cryptographie asymétrique : une clé privée reste sur l’appareil de l’utilisateur, tandis qu’une clé publique est associée au service. Ce modèle limite fortement les risques liés au phishing et aux bases de mots de passe volées, car le service ne stocke pas un mot de passe réutilisable.
L’arrivée progressive de l’informatique quantique pose aussi de nouvelles questions pour certains standards cryptographiques. Les experts travaillent déjà sur des algorithmes résistants aux attaques quantiques, afin de sécuriser les échanges, les signatures et les données sensibles dans les années à venir.
Mot de passe, cybersécurité et métiers du numérique
Choisir un bon mot de passe est une pratique quotidienne, mais le sujet renvoie à des enjeux plus larges : sécurité des applications, protection des données, authentification, développement web, cloud, systèmes d’information, IA, cybersécurité et transformation digitale. Ces questions concernent les utilisateurs, les entreprises, les développeurs, les administrateurs systèmes, les chefs de projet et les responsables produit.
À l’IIM, l’axe Coding & Digital Innovation forme des profils capables de développer des produits, services et prototypes numériques en tenant compte des usages, de la qualité technique et des enjeux de sécurité. Le Bachelor Coding & Digital Innovation permet d’acquérir les bases du développement web, du coding, des interfaces, des applications et des projets numériques. Les spécialisations de niveau Mastère approfondissent ensuite les enjeux liés au développement full stack, à l’innovation digitale, à l’IA, à la cybersécurité, au cloud, au DevOps et aux systèmes d’information.
Les métiers du numérique, du développement et de l’informatique demandent aujourd’hui une culture de la sécurité intégrée dès la conception. Un bon produit numérique ne se limite pas à une interface fonctionnelle : il doit protéger les données, gérer correctement les accès, résister aux usages à risque et accompagner les utilisateurs vers de meilleures pratiques.
FAQ : choisir un bon mot de passe en 2026
Quelle longueur pour un bon mot de passe ?
Un mot de passe long est généralement plus robuste qu’un mot de passe court. Une phrase de passe de 16 caractères ou plus, unique et non évidente, constitue une base plus solide qu’un mot court enrichi avec quelques symboles.
Faut-il encore utiliser des caractères spéciaux ?
Les caractères spéciaux peuvent renforcer un mot de passe, mais ils ne suffisent pas. La longueur, l’unicité et l’absence de modèle prévisible restent essentielles.
Faut-il changer ses mots de passe régulièrement ?
Un changement est recommandé lorsqu’un mot de passe est faible, réutilisé, partagé ou compromis. Des changements trop fréquents sans raison peuvent conduire à des variantes prévisibles.
Un gestionnaire de mots de passe est-il utile ?
Oui. Il permet de générer et stocker des mots de passe uniques pour chaque compte, ce qui limite fortement les risques liés à la réutilisation.
Les passkeys vont-elles remplacer les mots de passe ?
Les passkeys progressent et réduisent plusieurs risques liés aux mots de passe, notamment le phishing et la réutilisation. Leur adoption dépend toutefois des plateformes, des usages et des équipements disponibles.
Sources :
- NordPass — Top des mots de passe les plus courants
- ANSSI — Recommandations relatives à l’authentification multifacteur et aux mots de passe
- NIST — Digital Identity Guidelines, SP 800-63B
- CNIL — Recommandations relatives à l’authentification multifacteur
- Hive Systems — Password Table 2025
