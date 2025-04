Créer et maintenir des mots de passe forts

Mis à jour 28 March 2024

Les mots de passe sont des outils importants pour protéger vos données et votre identité. Malheureusement, les attaquants le savent, et ils peuvent utiliser beaucoup d'astuces pour comprendre vos mots de passe.

Mais vous pouvez vous en prémunir en appliquant quelques outils et tactiques importants.

Protéger vos mots de passe

Always use a secure, updated, protected and trusted device to access your accounts and manage your sensitive information, including passwords. Read the guides on Phones and Computers to learn how to make sure your device is secure.

Utilisez un gestionnaire de mots de passe. Aucun cerveau humain n'est assez puissant pour élaborer et mémoriser des mots de passe suffisamment longs, aléatoires et uniques pour assurer la sécurité de tous ses appareils et comptes. Un gestionnaire de mots de passe génère et stocke ces mots de passe pour vous, en les protégeant par chiffrement. Pour en savoir plus sur les gestionnaires de mots de passe que vous pouvez utiliser et sur la manière de les utiliser, consultez notre guide sur les gestionnaires de mots de passe.

Utilisez l'authentification à deux facteurs (2FA ou MFA). L'authentification à deux facteurs (2FA), également appelée authentification multifacteur (MFA), ajoute un deuxième facteur d'authentification à votre système de connexion. En utilisant l'authentification à deux facteurs, vous pouvez vous assurer que même si quelqu'un parvient à deviner votre mot de passe, il ne peut pas se connecter, car il a toujours besoin d'un deuxième facteur qui est plus difficile à obtenir. Pour apprendre à utiliser le 2FA de la manière la plus sûre, lisez notre guide sur l'authentification à deux facteurs.

Lisez les sections suivantes pour en savoir plus sur la manière de protéger vos mots de passe et vos comptes contre les attaques les plus courantes.

Créez un mot de passe plus fort

En résumé, nous vous suggérons de créer tous les mots de passe dont vous avez besoin avec un gestionnaire de mots de passe hors ligne et de n'avoir que quelques phrases de passe plus longues dont vous pouvez vous souvenir pour déverrouiller l'appareil sur lequel vous avez installé votre gestionnaire de mots de passe et la base de données du gestionnaire de mots de passe.

Si vous préférez créer tous vos mots de passe manuellement, voici le minimum que vous devez faire pour vous assurer que votre mot de passe est suffisamment fort :

Créez un mot de passe long - il devrait avoir 12 caractères au minimum. 14 est encore mieux.

Utilisez des lettres, des chiffres et des symboles.

Veuillez noter que les stratégies suivantes NE PERMETTENT PAS à elles seules de sécuriser vos mots de passe. Toutefois, vous pouvez les ajouter à un mot de passe fort pour le rendre plus complexe. Remplacer les lettres par des symboles ou des chiffres similaires (par exemple, «a» par «@» ou «e» par «3»). Il s'agit d'une vieille stratégie très connue des personnes qui savent comment craquer un mot de passe. Ajouter des points d'exclamation, des chiffres ou d'autres signes de ponctuation à la fin du mot de passe - il s'agit également d'une stratégie connue qui peut être devinée par quelqu'un qui essaierait de déchiffrer votre mot de passe. Commencer chaque mot par des lettres majuscules - il s'agit également d'une stratégie connue qui sera utilisée lors des tentatives de piratage de vos mots de passe.



N'oubliez pas non plus les recommandations suivantes :

N'utilisez pas un seul mot figurant dans un dictionnaire.

N'utilisez pas d'expressions courantes, telles que des citations célèbres ou des phrases tirées de paroles de chansons ou de poèmes.

N'utilisez pas de mots ou de chiffres liés à vous ou aux personnes et organisations qui vous entourent, par exemple : les noms de personnes, d'animaux domestiques ou d'organisations, les dates de naissance, les anniversaires importants ou les jours fériés, Les numéros de téléphone ou les adresses, ou toute autre chose qu'une personne pourrait découvrir en faisant des recherches sur vous et les personnes qui vous entourent.

N'oubliez pas qu'il n'est pas nécessaire de changer vos mots de passe fréquemment. Pour savoir quand changer de mot de passe, lisez Quand changer de mot de passe.

Retenez quelques mots de passe sécurisés

Même en utilisant un gestionnaire de mots de passe, vous devrez mémoriser quelques mots de passe sûrs pour déverrouiller l'appareil sur lequel vous avez installé votre gestionnaire de mots de passe et pour déverrouiller la base de données du gestionnaire de mots de passe dans laquelle vous conservez vos mots de passe forts et uniques.

Utilisez la méthode diceware (méthode du lancer de dés) pour générer des mots de passe forts dont vous vous souviendrez : Procurez-vous une liste de mots numérotés ainsi que cinq dés à jouer. Lancez les cinq dés pour obtenir un nombre à cinq chiffres (par exemple, 6,2,5,1,1). Utilisez le mot dans la liste avec le numéro correspondant. Répétez cette opération six fois. Utilisez les six mots obtenus comme «phrase de passe». Ne réutilisez pas ce mot de passe ailleurs. Ensuite, créez une image mentale en utilisant les mots de votre phrase de passe, dans l'ordre. Cela vous aidera à vous souvenir de la phrase. Exercez-vous à saisir ces mots de passe régulièrement, quotidiennement au début, puis au moins une fois par semaine. La répétition vous aidera à les mémoriser.

Si vous n'avez pas de dés et que vous devez générer un mot de passe dont vous vous souviendrez, vous pouvez le générer avec KeePassXC.

Alternatively, you can use the "book method": Prenez un livre au hasard, de préférence sans rapport avec votre activité principale. Ouvrez le livre à une page au hasard. En gardant les yeux fermés, posez votre doigt sur la page ouverte pour choisir un mot au hasard. Répétez ce processus 6 fois pour obtenir une phrase de passe composée de 6 mots aléatoires. Veuillez noter que cette méthode est moins sûre, surtout si vous utilisez un livre qui se trouve dans votre bureau, car elle crée des phrases de passe moins aléatoires. Mais si vous ne voulez pas installer de logiciel et que vous utilisez un livre ou un magazine au hasard, cette méthode peut être une bonne alternative pour générer une phrase de passe longue dont vous pouvez vous souvenir.



Découvrez pourquoi nous recommandons ceci There will be a few passwords you must memorize, including the password to log in to the device where you have installed your password manager and the master password to your password manager. The diceware method can help you create passphrases that are easy to remember but extremely difficult to guess, even for an attacker who has a lot of time and skills and knows how to use "password cracking" software.

Si vous devez partager des mots de passe

Évitez autant que possible de partager des mots de passe : Si vous devez partager un mot de passe avec un ami, un membre de votre famille ou un collègue, changez-le pour quelque chose de temporaire avant de partager ce mot de passe. Changez-le pour quelque chose de sécurisé à nouveau quand ils ont fini de l’utiliser. Envisagez de créer des comptes distincts pour chaque personne qui a besoin d'accéder à un service ; de nombreux services le permettent. Vous pouvez limiter les actions que ces comptes sont autorisés à entreprendre et ce qu'ils peuvent voir. If you need to share access to your device, consider creating a separate account for that device. See the basic security guides for Android, Linux, macOS, and Windows for instructions on how to do this. On iOS devices this option is not available, unless you are using an iPad. See Shared iPad overview to learn how this works.

Si vous devez vraiment partager vos mots de passe avec d'autres personnes, vous pouvez configurer votre KeePassXC de manière à ce que vous puissiez l'utiliser de manière collaborative. Consultez la documentation de KeePassXC pour savoir comment procéder.

Découvrez pourquoi nous recommandons ceci Chaque fois que vous partagez un mot de passe, c'est un peu comme si vous faisiez une copie supplémentaire de la clé de votre maison et que vous la donniez : il y a un risque supplémentaire que quelqu'un perde cette clé. En fait, c'est encore plus risqué, car votre «maison» peut alors être facilement accessible par des appareils éloignés sans que vous vous en rendiez compte. Réduisez cette «surface d'attaque» en évitant autant que possible de partager vos mots de passe.

Vérifiez si vos mots de passe ont été compromis

Effectuez une recherche sur le site web ';--have i been pwned? pour voir si vos comptes sont signalés comme étant compromis. Modifiez immédiatement les mots de passe de vos comptes qui y figurent, en suivant les instructions relatives à l'utilisation d'un gestionnaire de mots de passe.

Même si aucun de vos comptes n'apparaît ici, vous devriez quand même suivre les instructions de ce guide, car de nombreuses fuites de données de comptes ne sont pas signalées.

Découvrez pourquoi nous recommandons ceci Les attaquants recherchent des mots de passe qui ont déjà fait l'objet d'une fuite et qui sont disponibles en ligne. Ils essaient les mots de passe de vos comptes jusqu'à ce qu'ils trouvent celui qui leur permet d'entrer. La réutilisation d'un même mot de passe est donc particulièrement risquée. Jetez un coup d'œil à ';--have i been pwned ? pour voir si vos mots de passe figurent sur l'une des listes utilisées par les pirates.

Soyez attentifs à la manière dont les pirates peuvent deviner vos mots de passe

Voici les moyens les plus courants utilisés par les pirates pour trouver vos mots de passe :

Ils peuvent deviner vos mots de passe : En utilisant vos informations personnelles telles que des dates ou des noms importants, ou encore des citations célèbres, des chansons ou des auteurs que vous aimez,

En utilisant un dictionnaire,

En modifiant légèrement les mots de passe que vous avez déjà utilisés,

En utilisant un logiciel pour essayer toutes les combinaisons possibles afin de déverrouiller votre compte. Ils peuvent chercher : Où vos mots de passe sont notés (comme des notes autour de votre bureau),

Ce que vous saisissez lorsque vous entrez votre mot de passe,

Les mots de passe déjà découverts et disponibles en ligne. Ils peuvent vous piéger pour vous pousser à : Installer un logiciel malveillant pour enregistrer vos mots de passe,

Vous obliger à saisir votre mot de passe dans une fausse page de connexion par le biais de hameçonnage (phishing),

Fournir vos mots de passe ou d’autres renseignements se faisant passer pour un soutien ou quelqu’un que vous connaissez (aussi appelé ingénierie sociale).

Pour en savoir plus sur la manière de reconnaître les tentatives de pression visant à vous faire agir précipitamment ou à faire appel à vos émotions, consultez la rubrique dans notre guide sur les logiciels malveillants. Ils peuvent exploiter vos vulnérabilités : En piratant le site Web où ils veulent se connecter avec votre mot de passe,

En volant votre mot de passe s'il est stocké dans votre navigateur,

En volant votre mot de passe dans les applications que vous utilisez sur votre téléphone.

Ne donnez pas votre mot de passe lorsque quelqu’un vous envoie des courriels, des messages ou vous appelle

Rendez-vous sur l’application ou le site du service qui vous aurait envoyé le message pour vérifier la demande. Consultez nos guides Protégez-vous et protégez vos données lorsque vous utilisez les réseaux sociaux pour trouver les récapitulatifs des alertes que différents services vous ont peut-être envoyés.

S’il s'avère que c’est une personne ou un bureau que vous connaissez qui vous a envoyé le message, contactez là par un autre canal pour vérifier si elle a fait la demande. Par exemple, si le message était un courriel, appelez-les. Ne cliquez pas sur les liens dans le courriel et n’envoyez pas de réponse.

Soyez vigilent quand un message essaie de vous effrayer, d'attirer votre curiosité, de vous faire sentir que vous allez manquer une occasion, ou autrement dit, vous faire agir précipitamment et sans réfléchir. Faites une pause, restez calme et trouvez d’autres moyens de vérifier la véracité de tels messages.

Découvrez pourquoi nous recommandons ceci Les agresseurs se font souvent passer pour quelqu’un qu’ils ne sont pas, comme le représentant d'une banque ou d'une assistance technique, afin de nous convaincre de leur donner des renseignements sensibles. Les attaquants jouent aussi souvent sur nos émotions et la nature humaine pour nous faire leur donner des mots de passe alors que nous ne le devons pas. Si vous recevez un appel, un courriel ou un message vous demandant votre mot de passe ou d'autres informations sensibles, ou si un courriel ou un SMS contient un lien et vous demande de cliquer dessus pour fournir ces informations, il est très probable que quelqu'un essaie de vous piéger. Pour en savoir plus sur la manière de reconnaître les tentatives de pression visant à vous faire agir précipitamment ou à faire appel à vos émotions, consultez la rubrique dans notre guide sur les logiciels malveillants. Pour en savoir plus sur le hameçonnage, consultez le Guide pratique : éviter les attaques par hameçonnage.

Quand changer votre mot de passe

Modifiez votre mot de passe immédiatement lorsque :

It appears your account, devices or colleagues and people around you have been victims of a data breach.

You entered your password on an untrusted, shared or public device (it might have malicious code installed).

Vous craignez que quelqu'un vous ait vu saisir votre mot de passe.

Minimiser les dommages en avertissant les autres personnes qui peuvent également avoir été touchées.

Also consider changing your password if you get a credible warning from the services you use that there was an attempt to log in from an unauthorized device or location. In such cases, go through the following steps to figure out whether your password may actually be compromised:

Look for news reports about data breaches.

If you received the alert through an email or chat message, double-check on the service provider's own website that they sent the alert. Never click links in emails, SMS messages or chat messages.

Consultez notre guide sur les réseaux sociaux et les guides sur la sécurité de base pour Android, iOS, Linux, macOS, et Windows pour obtenir des instructions sur la façon de modifier les mots de passe de votre appareil.

Découvrez pourquoi nous recommandons ceci Des recherches montrent que changer votre mot de passe à maintes reprises n’améliore pas nécessairement la sécurité. Lorsque les gens doivent souvent changer de mot de passe, ils ont tendance à ne faire que de petites modifications au mot de passe, au lieu de proposer un tout nouveau mot de passe. Pour en savoir plus sur ces recherches lire la publication de Bruce Schneier sur pourquoi changer fréquemment de mot de passe est une mauvaise idée en matière de sécurité. Il est plus important de changer vos mots de passe en cas d’atteinte à la protection des données. Parce que nous ne savons pas toujours quand les données ont été divulguées, nous recommandons de changer les mots de passe tous les quelques mois ou chaque année, ou immédiatement quand il y a une raison de croire qu’il peut être compromis.

Faites attention à l'endroit où vous vous trouvez et à qui peut vous voir lorsque vous saisissez un mot de passe

Si vous êtes dans un lieu public et que vous saisissez votre mot de passe, n'oubliez pas que vous pouvez être vu ou enregistré dans votre dos.

Vérifiez si quelqu’un regarde votre clavier ou votre téléphone pendant que vous saisissez vos mots de passe.

Utilisez un écran de protection de la confidentialité afin qu’il soit plus difficile de voir ce que vous saississez.

Découvrez pourquoi nous recommandons ceci Adversaries can monitor and record you entering a password. If a mobile device is confiscated by the authorities, and they don't have the password to unlock it, they can, for example, study the daily routines of the owner of the device to find a CCTV that may have filmed the owner and the screen of the device while they were typing the password to unlock the device.

Évitez le déverrouillage par empreintes digitales ou reconnaissance faciale (biométrie)

Si votre appareil est configuré pour se déverrouiller à l’aide de votre visage ou de votre empreinte digitale, modifiez vos paramètres pour utiliser plutôt le déverrouillage par mot de passe.

Voir les guides de sécurité de base pour Android, iOS, Linux, macOS, et Windows pour savoir comment procéder.

Découvrez pourquoi nous recommandons ceci La biométrie peut vous permettre d'accéder plus rapidement à vos appareils, en utilisant vos caractéristiques personnelles comme les empreintes digitales ou le visage. Cependant, c'est généralement un moyen moins sûr de verrouiller votre appareil et votre compte. Contrairement à un mot de passe, vous ne pouvez pas changer vos empreintes digitales quand vous le souhaitez. De nombreuses personnes doivent laisser des renseignements biométriques dans les aéroports ou les bureaux du gouvernement, etc. Cela crée un risque potentiel que quelqu’un puisse accéder à vos comptes sans votre consentement. Si vos adversaires vous retiennent ou vous forcent physiquement, cela peut être encore plus facile pour eux de déverrouiller vos appareils que si vous le verrouillez avec un mot de passe.

Certaines plateformes en ligne peuvent vous suggérer d'utiliser un passkey au lieu de votre nom d'utilisateur et de votre mot de passe.

Passkeys offer stronger protection against phishing, but rely a lot on biometrics and cloud sharing, which we don't recommend using for anything sensitive, let alone for credentials to log in to your accounts. If you think you may be exposed to advanced phishing attacks, however, you may choose to protect yourself against this threat with passkeys, and use them without biometrics or cloud sharing.

Pour activer un passkeys, vous aurez besoin soit d'un gestionnaire de mots de passe prenant en charge les passkeys, soit d'une clé de sécurité ou d'une puce de haute sécurité intégrée à votre ordinateur ou à votre téléphone. Dans la plupart des cas, les utilisateurs déverrouillent leur passkey en utilisant un gestionnaire de mots de passe basé dans le cloud ou la méthode de verrouillage de leur appareil, qui peut être basée sur des données biométriques telles que l'empreinte digitale ou la reconnaissance faciale.

Mais ce n'est pas vraiment nécessaire : dans la plupart des cas, vous pouvez stocker vos codes d'accès de manière plus sûre, soit dans une clé de sécurité physique, soit dans la puce de haute sécurité intégrée à votre ordinateur ou à votre téléphone, que nous recommandons de verrouiller à l'aide d'une phrase de passe plutôt qu'au moyen de la biométrie.

Vous pouvez également stocker des passkeys avec KeePassXC en activant l'intégration du navigateur KeePassXC, mais comme cette solution repose sur votre navigateur, elle peut être exposée à des attaques basées sur le navigateur et doit être considérée comme moins sûre que les autres solutions reposant sur des dispositifs matériels et des puces de haute sécurité.

Préparez des questions de récupération plus sécurisées

De nombreux services web demandent des «questions de sécurité» ou des «questions de récupération» lorsque vous créez un compte. Pour faire en sorte qu'elles soient plus difficile à deviner vous pouvez employer les stratégies suivantes :

Fournissez des réponses fausses, sans rapport avec ces questions.

Vous pouvez même utiliser un autre code aléatoire et unique généré par votre gestionnaire de mot de passe.

Veillez à enregistrer vos réponses dans votre gestionnaire de mots de passe afin de ne pas risquer d'oublier vos questions de récupération et de vous retrouver bloqué.

Découvrez pourquoi nous recommandons ceci Les questions de récupération sont importantes pour aider les services à vérifier votre identité s’ils soupçonnent que quelqu’un d’autre tente d’accéder à votre compte. Vous utilisez ces réponses pour modifier votre mot de passe au cas où vous perdriez l’accès à votre compte. Malheureusement, vos réponses à des questions comme «Dans quelle ville êtes-vous né ?» ou «Quel est le nom de votre animal de compagnie ?» peuvent être faciles à trouver en ligne. En donnant de fausses réponses, vous pouvez compliquer la tâche à un attaquant qui essaie de pirater votre compte.

