Bien choisir son mot de passe, ce n’est pas trouver une suite de caractères « compliquée » au hasard. C’est surtout comprendre comment les mots de passe sont attaqués (et donc comment les rendre pénibles à deviner), puis mettre en place une méthode simple à appliquer au quotidien.
Comprendre le risque : comment un mot de passe est “cassé”
Dans la majorité des cas, un pirate ne « devine » pas votre mot de passe à l’intuition. Il utilise des outils automatisés qui testent des milliers, puis des millions de combinaisons. Deux approches reviennent souvent :
- Les attaques par dictionnaire : l’outil essaie des mots fréquents (dictionnaire, prénoms, noms d’animaux, villes, etc.).
- Les attaques par force brute : l’outil teste des combinaisons de lettres/chiffres/symboles jusqu’à trouver la bonne.
Votre objectif : éviter tout ce qui ressemble à un mot « devinable » et augmenter le temps nécessaire pour le casser.
Ce qu’il ne faut pas faire
1) Utiliser des informations personnelles ou évidentes
Évitez les mots de passe basés sur :
- un mot du dictionnaire (nom commun, animal, lieu) ;
- un nom propre (vous, vos proches, votre équipe, votre chanteur préféré) ;
- des infos faciles à trouver ou à deviner (date de naissance, plaque, code postal, etc.).
Pourquoi ? Parce que ces éléments alimentent très bien les attaques par dictionnaire… et parce que votre entourage (ou quelqu’un qui vous “profilera” sur les réseaux) peut tenter sa chance.
2) Réutiliser le même couple identifiant / mot de passe
Un piège classique consiste à mettre le même code pour le login et le mot de passe, ou à réutiliser un mot de passe sur plusieurs sites. C’est risqué : si un seul service est compromis, les attaquants testent ensuite automatiquement ces identifiants ailleurs (messagerie, réseaux sociaux, banque, etc.).
À vous de vous poser la question : quels sont les comptes qui donnent accès aux autres ? Typiquement, l’e-mail principal est critique, car il permet souvent de réinitialiser les mots de passe.
3) Choisir des suites “populaires” ou prévisibles
Les suites comme « 123456 », « abcdef », « password » ou « internet » font partie des premières testées. Même si vous ajoutez un caractère à la fin, beaucoup d’outils essaient aussi les variantes.
4) Le noter n’importe où (ou l’enregistrer sans protection)
Un mot de passe collé sur un post-it, écrit dans un carnet laissé sur le bureau, ou stocké dans un fichier texte sur l’ordinateur, revient souvent à laisser la clé sur la porte. Le risque n’est pas seulement le piratage à distance : c’est aussi la consultation par une personne de passage, une perte/vol de matériel, ou une sauvegarde cloud mal sécurisée.
Le critère n°1 : la longueur (plus que la “complexité”)
Plus un mot de passe est long, plus il résiste aux attaques par force brute. Historiquement, on a beaucoup parlé de 8 caractères, mais aujourd’hui, pour un compte important, visez plutôt :
- 12 caractères minimum pour un usage courant ;
- 14 à 16+ caractères pour l’e-mail principal, la banque, les services pro, ou tout ce qui est sensible.
L’idée est simple : ajouter de la longueur fait exploser le nombre de combinaisons possibles. À l’inverse, un mot de passe court, même avec des symboles, peut rester trop rapide à tester.
Une méthode efficace : partir d’une phrase et la transformer
Plutôt que d’inventer un “mot” (souvent devinable), utilisez une phrase qui a du sens pour vous, puis transformez-la. Exemple de méthode :
- Choisissez une phrase mémorisable (pas une citation trop connue).
- Gardez les initiales, ou une lettre sur deux, ou une structure régulière.
- Ajoutez des éléments stables (ponctuation, majuscules, chiffres) sans tomber dans les schémas classiques.
Exemple avec un acronyme
La phrase « A l’université, mon coloc’ venait d’une station de Haute-Savoie » peut devenir : « AlumcvdusdHS ».
Renforcer sans rendre la méthode fragile
Vous pouvez ensuite :
- insérer un nombre à un endroit que vous gardez constant ;
- mélanger majuscules/minuscules selon une règle simple (par exemple, la première lettre de chaque “mot”) ;
- ajouter un séparateur (tiret, point, underscore) si le service l’accepte.
Exemple : « AlumcvdusdHS » peut devenir « Alu26984mcvdusdHS ».
Les bonnes questions à se poser avant de “valider” un mot de passe
- Est-ce que quelqu’un qui me connaît (ou qui voit mes réseaux) pourrait le deviner ?
- Est-ce que je le réutilise ailleurs (même avec une petite variante) ?
- Est-ce qu’il est assez long pour résister à des tests automatisés ?
- Est-ce que je pourrai le retenir sans l’écrire en clair ?
- Si ce compte est piraté, qu’est-ce que l’attaquant peut faire ensuite (réinitialiser d’autres accès, récupérer des données, acheter, usurper mon identité) ?