Comment créer un mot de passe inviolable
Inviolable ne veut pas dire incassable. Voici les 5 règles vérifiables qui rendent un mot de passe pratiquement impossible à casser en 2026.
Un mot de passe parfaitement inviolable n'existe pas en théorie — mais on peut atteindre un niveau de sécurité où le coût d'une attaque dépasse mille fois la valeur du compte protégé. Voici les 5 règles vérifiables.
Règle 1 — Au moins 20 caractères
À 20 caractères avec un charset complet (~86 caractères), l'entropie atteint ~129 bits. Aucune flotte d'ordinateurs connue ne peut tester ce nombre de combinaisons en moins de plusieurs milliards d'années.
20 caractères, c'est aussi le seuil où la longueur compense l'absence de symboles pour les services qui les refusent.
Règle 2 — Charset complet et aléatoire
Le mot de passe doit mêler majuscules, minuscules, chiffres et symboles, choisis aléatoirement par un générateur cryptographique. Toute structure exploitable par un dictionnaire (mot français, prénom, date) rend la longueur inutile.
Le mot de passe azertyazertyazertyaz a 20 caractères mais tombe instantanément face à un dictionnaire de patterns clavier.
Règle 3 — Aléa cryptographique (pas Math.random)
Le générateur doit utiliser crypto.getRandomValues (Web Crypto API) ou /dev/urandom sur Linux. Math.random() en JavaScript est prédictible : un attaquant qui observe quelques valeurs peut prédire les suivantes.
Convertly PASSWORD utilise exclusivement crypto.getRandomValues — la même source que Bitwarden, 1Password ou KeePassXC.
Règle 4 — Unique à chaque service
Si une fuite expose votre mot de passe sur un forum oublié, les attaquants tentent automatiquement ce mot de passe sur Gmail, Amazon, votre banque. C'est l'attaque par credential stuffing, responsable de 80 % des prises de compte en 2024-2025.
La seule défense : un mot de passe différent par service, stocké dans un gestionnaire.
Règle 5 — Stocké dans un gestionnaire de mots de passe
Un humain ne peut pas retenir 100 mots de passe de 20 caractères aléatoires. C'est mathématiquement impossible. Un gestionnaire (Bitwarden, 1Password, KeePassXC, Dashlane) :
- Stocke vos mots de passe chiffrés avec un mot de passe maître (le seul à retenir).
- Les remplit automatiquement sur les sites légitimes — bloquant naturellement le phishing.
- Détecte les mots de passe réutilisés ou compromis.
Générer un mot de passe ultra sécurisé de 32 caractères
Bonus — Activer la 2FA
Même inviolable, un mot de passe peut fuiter par phishing ou keylogger. La 2FA (Google Authenticator, Yubikey, TOTP) ajoute une couche que l'attaquant ne peut pas dériver depuis un mot de passe seul. À activer partout où c'est proposé.
Récapitulatif
| Critère | Cible |
|---|---|
| Longueur | ≥ 20 caractères |
| Charset | 4 types ou compensation par longueur |
| Aléa | Cryptographique (Web Crypto) |
| Unicité | 1 par service |
| Stockage | Gestionnaire de mots de passe |
| 2FA | Activée sur tous les comptes sensibles |