Mot de passe fort : la vraie méthode (et pourquoi la complexité seule ne suffit plus)
8 caractères, une majuscule, un chiffre, un symbole : ce conseil qu'on répète depuis vingt ans est aujourd'hui obsolète, et les autorités l'ont officiellement abandonné.
Pourquoi la vieille règle ne protège plus
Les clusters de cartes graphiques modernes testent des milliards de combinaisons par seconde. Un mot de passe de 8 caractères, même avec majuscule et symbole, peut être cassé en quelques secondes par une attaque par force brute. La complexité imposée (majuscule + chiffre + symbole) pousse surtout les utilisateurs vers des schémas prévisibles comme "Password2025!" — plus faciles à deviner qu'à casser mathématiquement.
Ce que recommandent l'ANSSI et le NIST en 2026
Les deux autorités convergent sur un principe : la longueur prime sur la complexité. L'ANSSI recommande désormais un minimum de 12 à 16 caractères pour un mot de passe classique (20 ou plus pour les comptes à privilèges), en misant sur l'entropie plutôt que sur des règles de composition rigides. Le NIST va plus loin avec une recommandation de 15 caractères minimum, générés aléatoirement quand c'est possible.
Autre changement majeur : la rotation périodique obligatoire (changer son mot de passe tous les 90 jours) a été abandonnée par l'ANSSI comme par le NIST. Elle s'est révélée contre-productive, poussant les utilisateurs à créer des variantes prévisibles plutôt que de vrais nouveaux secrets.
La phrase de passe : la méthode la plus accessible
L'ANSSI recommande les phrases de passe : 4 à 5 mots assemblés, avec quelques caractères spéciaux, du type "VOILÀ_LA_TORTUE_DU17". Ce type de mot de passe est statistiquement bien plus long à casser qu'un mot de passe court truffé de symboles, tout en restant mémorisable — contrairement à une suite aléatoire de caractères.
Un mot de passe par compte, sans exception
Réutiliser un mot de passe sur plusieurs sites expose tous vos comptes dès qu'un seul service est compromis. C'est humainement impossible à gérer sans outil pour 50, 100 ou 200 comptes : c'est précisément le rôle d'un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass, Proton Pass), que l'ANSSI et la CNIL recommandent toutes deux explicitement.