Ton mot de passe est probablement terrible (En voici un meilleur)

Soyons honnêtes. Tu as utilisé "password123" quelque part. Ou le nom de ton chien. Ou ta date de naissance. Peut-être que tu as ajouté un point d'exclamation à la fin et que tu t'es senti malin.

Les hackers ont des listes. Des millions de mots de passe courants, triés par fréquence. Ils essaient ceux-là en premier. "password123!" est sur la liste. Tout comme "Fluffy2024" et "Jennifer1985" et tout ce que tu pensais être unique.

Ce qui rend un mot de passe fort

Ce n'est pas la complexité. C'est le caractère aléatoire.

"Tr0ub4dor&3" a l'air fort—casse mixte, chiffres, symboles. Mais c'est un mot modifié. Basé sur un motif. Crackable.

"mK8$zL2@nQ5&wR" ressemble à du tapotage de clavier. C'est en fait aléatoire. Beaucoup plus difficile à craquer.

La différence : l'un suit des motifs humains, l'autre non. Les hackers connaissent les motifs humains.

La longueur bat la complexité

Un mot de passe de 20 caractères avec juste des lettres minuscules est plus fort qu'un mot de passe de 8 caractères avec des symboles.

Pourquoi ? Les maths.

• 8 caractères, complexité complète (95 possibles par caractère) : 95^8 = 6,6 quadrillions de combinaisons
• 20 caractères, minuscules seulement (26 possibles par caractère) : 26^20 = 19 octillions de combinaisons

Le mot de passe plus long a beaucoup plus de combinaisons, même avec des caractères plus simples.

C'est pourquoi "correct horse battery staple" est devenu célèbre. Quatre mots aléatoires, facile à retenir, difficile à craquer.

Le vrai problème : La réutilisation

Utiliser le même mot de passe partout est la vraie catastrophe de sécurité.

Un site se fait pirater. Ton email et mot de passe fuient. Les hackers essaient cette combo sur tous les services majeurs. Si tu as utilisé le même mot de passe, ils sont dedans.

Ça arrive constamment. LinkedIn a fuité. Adobe a fuité. Dropbox a fuité. Si ton mot de passe était dans l'une de ces fuites et que tu l'as réutilisé, les attaquants l'ont probablement essayé ailleurs.

Ce qui fonctionne vraiment

Utilise un gestionnaire de mots de passe. Il génère des mots de passe aléatoires, les stocke en sécurité, les remplit automatiquement. Tu te souviens d'un mot de passe maître. Le gestionnaire gère le reste.

Rends chaque mot de passe unique. Chaque site a son propre mot de passe aléatoire. Une fuite ne cascade pas.

Active l'authentification à deux facteurs. Même si quelqu'un obtient ton mot de passe, il a besoin de ton téléphone aussi. Amélioration massive pour un effort minimal.

Ne change pas les mots de passe constamment. L'ancien conseil était "change tous les 90 jours." Ça a conduit les gens à utiliser Password1, Password2, Password3. Pire que garder un mot de passe fort plus longtemps.

Pour les mots de passe que tu dois retenir

Certains mots de passe tu ne peux pas les stocker dans un gestionnaire—ta connexion ordinateur, le mot de passe maître de ton gestionnaire de mots de passe.

Pour ceux-là, utilise une phrase secrète :

• Choisis 4-5 mots aléatoires (vraiment aléatoires, pas une phrase qui a du sens)
• Ajoute un chiffre ou symbole quelque part
• Fais-le d'au moins 20 caractères

"correct horse battery staple" → "purple-table-window-coffee-89"

Mots aléatoires, facile à taper, facile à retenir après quelques utilisations, très difficile à craquer.

Vérifie si tu as été piraté

Des sites comme "Have I Been Pwned" te permettent de vérifier si ton email est apparu dans des fuites de données connues. Ça vaut le coup de vérifier périodiquement. Si tu apparais, change les mots de passe pour tous les comptes utilisant cet email—surtout si tu as réutilisé des mots de passe.

---

La sécurité des mots de passe ne consiste pas à rendre ta vie plus difficile. Il s'agit d'utiliser les bons outils—générateurs de mots de passe, gestionnaires de mots de passe, authentification à deux facteurs—pour que tu puisses arrêter de penser aux mots de passe entièrement.

Génère quelque chose d'aléatoire, stocke-le en sécurité, oublie que ça existe. C'est l'objectif.