Qu'est-ce qu'un mot de passe fort ?
Un mot de passe fort en 2026 mesure au moins 12 caractères, mélange les 4 types et atteint 80 bits d'entropie. Voici les critères précis selon la CNIL, l'ANSSI et le NIST.
Un mot de passe fort en 2026 doit résister aux attaques par force brute menées sur GPU modernes et aux attaques par dictionnaire enrichies par fuite de données. Trois autorités cadrent les critères en France : la CNIL, l'ANSSI et le NIST américain (SP 800-63B). Toutes convergent vers une définition mesurable.
Les 4 critères d'un mot de passe fort
- Longueur ≥ 12 caractères avec 4 types (majuscules, minuscules, chiffres, symboles), ou ≥ 14 caractères avec 3 types. Recommandation CNIL délibération 2022-100.
- Aléatoire, jamais dérivé d'un mot, d'une date ou d'une information personnelle.
- Unique à chaque service : une fuite ne doit pas compromettre vos autres comptes.
- Entropie ≥ 80 bits. C'est la quantité d'incertitude réelle, mesurée en bits. En 2026, 80 bits sont considérés comme inviolables par force brute, même avec un cluster GPU.
Comment se mesure l'entropie ?
L'entropie d'un mot de passe aléatoire se calcule avec la formule E = L × log2(P), où L est la longueur et P la taille du pool de caractères.
| Pool | Bits par caractère | Mot de passe 12 car. | Mot de passe 16 car. |
|---|---|---|---|
| Chiffres seuls (10) | 3,3 | 40 bits | 53 bits |
| Alphanumérique (62) | 5,95 | 71 bits | 95 bits |
| Charset complet ~86 | 6,42 | 77 bits | 103 bits |
Une fois passé 80 bits, le temps de cassage dépasse l'âge de l'univers même sur un cluster ASIC dédié.
Mots de passe forts vs faibles : exemples
- ❌
Motdepasse2026!— 15 caractères mais base dictionnaire. Cassé en quelques secondes. - ❌
Sophie1985!— prénom + année. Cassé en quelques minutes. - ✅
k9.PqW2x@7vN!j3M— 16 caractères aléatoires, ~105 bits d'entropie. Inviolable. - ✅
jardin-radio-flute-poisson-66— phrase de passe Diceware, ~75 bits d'entropie, mémorisable.
Pourquoi 8 caractères ne suffisent plus
En 2026, une RTX 4090 teste environ 200 milliards de hashes SHA-256 par seconde. Un mot de passe alphanumérique de 8 caractères (~48 bits) est cassé en moins de 4 heures. Le NIST a retiré ce seuil de ses recommandations dès 2017.
Les erreurs à éviter
- Substituer des lettres par des chiffres (
P@ssw0rd) : les attaques de dictionnaire intègrent ces variations depuis 15 ans. - Ajouter un chiffre à la fin (
Motdepasse1,Motdepasse123) : pattern testé en premier. - Réutiliser le même mot de passe sur plusieurs sites : une fuite sur un site secondaire compromet tous les autres.
- Le changer tous les 90 jours : déconseillé par le NIST depuis 2017 — pousse les utilisateurs à des variantes prévisibles.
Comment générer un mot de passe fort en pratique
La seule méthode fiable : utiliser un générateur cryptographique (Web Crypto API) et stocker le résultat dans un gestionnaire (Bitwarden, 1Password, KeePassXC). Convertly PASSWORD génère localement dans votre navigateur — aucun mot de passe ne transite par Internet.
Générer un mot de passe fort de 16 caractères