Quelle longueur minimale pour un mot de passe en 2026 ?

12 caracteres minimum pour un compte standard, 16 pour un compte sensible (banque, email principal, password manager), 20+ pour un mot de passe maitre. Le NIST 800-63B et l'ANSSI alignent leurs recommandations sur ces seuils. Plus la longueur augmente, plus l'entropie augmente lineairement.

Le mot de passe genere est-il vraiment aleatoire ?

Oui. L'outil utilise crypto.getRandomValues, l'API Web Crypto du navigateur, qui produit des nombres cryptographiquement securises (CSPRNG) issus du systeme d'exploitation. C'est le meme niveau d'aleatoire que celui utilise par TLS, SSH ou les portefeuilles de cryptomonnaies.

Quel gestionnaire de mots de passe choisir ?

Bitwarden (open source, gratuit, multi-plateforme, plan famille a 40 USD par an), 1Password (plus poli mais payant des le premier compte), KeePassXC (100 % local, gratuit, sans cloud), ou le trousseau iCloud / Google Password Manager si vous etes deja dans l'ecosysteme. Tous chiffrent localement avec votre mot de passe maitre.

Faut-il changer son mot de passe regulierement ?

Non, pas par calendrier. Le NIST a explicitement abandonne cette recommandation en 2017. Changez votre mot de passe seulement en cas de fuite confirmee (alerte Have I Been Pwned, breach de service), de partage involontaire ou de soupcon de compromission. Un changement force a date fixe pousse les utilisateurs a choisir des variantes faibles.

Le mot de passe est-il envoye sur internet ?

Non. Toute la generation est effectuee localement par votre navigateur via crypto.getRandomValues. Aucune requete reseau n'est emise pendant la creation. Vous pouvez verifier en ouvrant l'onglet Reseau des outils de developpement avant de cliquer sur Generer.

Faut-il activer la 2FA en plus d'un bon mot de passe ?

Oui, systematiquement quand le service le propose. Une cle FIDO2 (YubiKey, Titan, ou la cle de securite integree de votre smartphone) ou un code TOTP (Aegis, Google Authenticator) bloque environ 99 % des attaques residuelles. La 2FA est la couche qui transforme un mot de passe fort en compte quasi-inviolable.

Mis a jour : avril 2026

Generateur de mot de passe securise

Creez des mots de passe forts et uniques en un clic. 100% local, rien n'est envoye.

Fort

Longueur16

Minuscules (a-z)Majuscules (A-Z)Chiffres (0-9)Symboles (!@#$)

Comment generer un mot de passe robuste

Trois reglages suffisent : longueur, types de caracteres et generation cryptographiquement securisee. Tout reste dans votre navigateur.

Choisir une longueur d'au moins 16 caracteres
Le NIST (publication 800-63B) et l'ANSSI recommandent au minimum 12 caracteres pour un compte standard, 16 pour un compte sensible (banque, email principal, gestionnaire de mots de passe). Chaque caractere supplementaire multiplie l'effort d'une attaque par force brute. Le curseur va jusqu'a 64 caracteres.
Activer les 4 types de caracteres
Cochez minuscules, majuscules, chiffres et symboles. Avec les 4 jeux actifs, l'alphabet de generation atteint environ 90 caracteres : un mot de passe de 16 caracteres a alors une entropie superieure a 100 bits, ce qui le rend resistant aux attaques modernes meme sur GPU.
Generer puis stocker dans un gestionnaire
Cliquez sur Generer puis Copier. Collez immediatement dans Bitwarden, 1Password, KeePassXC ou le trousseau de votre OS. Ne stockez jamais un mot de passe en clair dans un email, une note ou un fichier texte. Activez egalement la 2FA quand le service le permet.

Cas d'usage du generateur

Equipe dev et secrets d'application

Cles API, secrets JWT, mots de passe de bases de donnees, comptes de service : utilisez 32 a 64 caracteres avec symboles. Ces secrets ne sont jamais saisis a la main, donc la longueur ne pose aucun probleme et l'entropie elevee bloque toute attaque hors-ligne sur un dump.

Freelance multi-clients

Un mot de passe unique par client (CMS WordPress, FTP, registrar de domaine). En cas de fuite chez un client, les autres restent proteges. Le generateur produit instantanement 20 a 30 mots de passe par mois pour un freelance actif, sans effort.

Onboarding RH et comptes employes

A la creation d'un compte employe (Microsoft 365, Google Workspace, VPN), generez un mot de passe temporaire de 20 caracteres et imposez son changement a la premiere connexion. Plus rapide et plus sur que de bricoler Bienvenue2024 + initiales.

Rotation post-incident

Apres une fuite annoncee (Have I Been Pwned vous notifie), regenerez immediatement les mots de passe affectes en 16+ caracteres tous types. Couplez avec la rotation des sessions actives. Votre gestionnaire facilite la propagation sur tous vos appareils.

Securite et bonnes pratiques

Entropie en bits, la mesure qui compte. L'entropie d'un mot de passe se calcule par log2(alphabet) x longueur. Avec 4 jeux actifs (environ 90 caracteres possibles), 12 caracteres donnent environ 78 bits, 16 caracteres environ 104 bits, 20 caracteres environ 130 bits. Au-dessus de 80 bits, une attaque par force brute hors-ligne sur GPU devient irrealiste meme pour un attaquant etatique.

NIST 800-63B et ANSSI : la longueur prime sur la complexite. Les recommandations modernes (NIST Special Publication 800-63B, guide ANSSI) ont abandonne les regles type "changez tous les 90 jours" ou "1 majuscule + 1 chiffre". Aujourd'hui, la priorite est la longueur, l'unicite par compte, la verification contre les bases de fuites, et l'ajout d'un second facteur (TOTP, cle FIDO2).

Brute force vs dictionnaire. Une attaque par force brute teste toutes les combinaisons : a 100 bits d'entropie, c'est mathematiquement impossible. Une attaque par dictionnaire teste les mots de passe deja fuites (rockyou.txt, listes Have I Been Pwned : plus de 12 milliards d'entrees). C'est pourquoi MotDePasse2024 est casse en quelques secondes alors que P!9xK2vMnQ4tLwR8 resiste pendant des siecles.

Confidentialite locale. Cet outil utilise crypto.getRandomValues, l'API Web Crypto du navigateur, qui s'appuie sur un generateur cryptographiquement securise (CSPRNG) du systeme d'exploitation. Aucun mot de passe n'est jamais envoye sur le reseau, journalise ou stocke. Vous pouvez fermer l'onglet immediatement apres avoir colle le mot de passe dans votre gestionnaire.

Questions frequentes

Les questions les plus posees sur la generation de mots de passe.

12 caracteres minimum pour un compte standard, 16 pour un compte sensible (banque, email principal, password manager), 20+ pour un mot de passe maitre. Le NIST 800-63B et l'ANSSI alignent leurs recommandations sur ces seuils. Plus la longueur augmente, plus l'entropie augmente lineairement.

Outils similaires

Ces outils pourraient aussi vous interesser

📶Securite

Mot de passe WiFi

Generez des mots de passe WiFi securises et lisibles. QR code pour partager facilement.

Utiliser →

🗣️Securite

Mot de passe prononcable

Mots de passe faciles a prononcer et retenir. Syllabes, force et options.

Utiliser →

⚖️Legal

Mentions legales

Generez des mentions legales conformes RGPD pour votre site web.

Utiliser →

⏱️Outils

Minuteur et chronometre

Compte a rebours avec alarme sonore et chronometre avec tours. 100% en ligne.

Utiliser →

Generateur de mot de passe securise

Comment generer un mot de passe robuste

Choisir une longueur d&apos;au moins 16 caracteres

Activer les 4 types de caracteres

Generer puis stocker dans un gestionnaire

Cas d'usage du generateur

Equipe dev et secrets d'application

Freelance multi-clients

Onboarding RH et comptes employes

Rotation post-incident

Securite et bonnes pratiques

Questions frequentes

Outils similaires

Mot de passe WiFi

Mot de passe prononcable

Mentions legales

Minuteur et chronometre

Choisir une longueur d'au moins 16 caracteres