- Minimum légal : 12 caractères variés ou 14 alphanumériques ou 7 mots en phrase de passe (CNIL délibération 2022-100)
- Outil recommandé : Bitwarden (gratuit, open-source, synchronisation cloud) ou KeePassXC (100% local)
- Piège fréquent : réutiliser le même mot de passe — 74% des piratages exploitent des identifiants réutilisés (Verizon 2024)
- 2FA obligatoire : clé de sécurité (YubiKey) > TOTP (Bitwarden Authenticator) > SMS (déconseillé)
Introduction
La CNIL impose un minimum de 80 bits d'entropie pour un mot de passe sans authentification supplémentaire, soit 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux, ou 14 caractères incluant majuscules, minuscules et chiffres sans caractères spéciaux, ou encore une phrase de passe de 7 mots minimum. La délibération CNIL n° 2022-100 du 21 juillet 2022 interdit le renouvellement forcé périodique des mots de passe pour les comptes standards et exige la vérification contre les bases de données de mots de passe compromis. Le NIST (SP 800-63B) recommande un minimum de 8 caractères et autorise jusqu'à 64 caractères.
Les 3 règles fondamentales d'un mot de passe solide en 2026
La CNIL et le NIST convergent sur trois principes : la longueur prime sur la complexité artificielle, l'unicité est non négociable, et le changement forcé est contre-productif.
Règle 1 — Longueur minimale de 12 caractères. Un mot de passe de 8 caractères avec majuscules, minuscules, chiffres et spéciaux offre environ 52 bits d'entropie — insuffisant selon la CNIL qui exige 80 bits. En pratique, cela signifie 12 caractères variés ou 14 caractères alphanumériques. La phrase de passe (« passphrase ») de 7 mots est l'option la plus robuste et la plus mémorisable : « ElephantBleuDanseSousPluieFroide2026 » offre plus de 100 bits d'entropie.
Règle 2 — Un mot de passe différent par service. La réutilisation est la première cause de compromission en cascade : quand un service est piraté, les attaquants testent vos identifiants sur tous les autres services. Seul un gestionnaire de mots de passe permet de maintenir des identifiants uniques pour 100+ comptes.
Règle 3 — Pas de changement forcé périodique. La CNIL et le NIST sont formels : le renouvellement obligatoire tous les 90 jours conduit les utilisateurs à créer des mots de passe prévisibles (« MotDePasse2026 ! » puis « MotDePasse2027 ! »). Le changement ne doit intervenir qu'en cas de compromission avérée.
Les gestionnaires de mots de passe : comparatif des solutions gratuites et open-source
Un gestionnaire de mots de passe chiffre vos identifiants dans un coffre-fort numérique protégé par un mot de passe maître unique. Voici les trois solutions recommandées en 2026 :
Bitwarden (version web 2026.4.2, bitwarden.com) — Le seul gestionnaire open-source avec synchronisation cloud complète en version gratuite. Avantages : extensions pour Chrome, Firefox, Safari, Edge ; applications iOS et Android ; TOTP intégré ; accès d'urgence ; partage sécurisé via Send. Limite de la version gratuite : pas de stockage de fichiers joints (nécessite Premium à 10 $/an). Le plan gratuit inclut un nombre illimité d'appareils et de mots de passe.
KeePassXC (version 2.7.12, mars 2026, keepassxc.org) — Gestionnaire local open-source pour Windows, macOS et Linux. Les identifiants sont stockés dans un fichier chiffré .kdbx sur votre machine — aucune donnée ne transite par un serveur cloud. KeePassXC 2.7.12 ajoute le support des passkeys, l'import Bitwarden avec dossiers imbriqués, et des correctifs de sécurité contre les attaques par injection DLL sur Windows. Idéal pour les utilisateurs qui refusent toute synchronisation cloud.
KeePassDX (version 4.4.2, GitHub KeePassDX) — Version Android de KeePass, compatible avec les mêmes fichiers .kdbx. La version Libre (sur F-Droid) ne contient pas Firebase et respecte la vie privée. Synchronisez votre coffre entre PC et mobile via Syncthing, Nextcloud ou tout service cloud chiffré.
Comment installer et configurer Bitwarden en 5 minutes
Bitwarden est le choix recommandé pour la majorité des utilisateurs car il combine open-source, synchronisation cloud et gratuité sans limite d'appareils.
# 1. Créer un compte sur vault.bitwarden.com
# 2. Installer l'extension navigateur (Chrome, Firefox, Safari, Edge)
# 3. Installer l'application mobile (iOS ou Android)
# 4. Définir un mot de passe maître de 7+ mots
# Exemple : "LeverSoleilOrangeChatMontagne2026"
# 5. Activer l'authentification à deux facteurs (2FA)Résultat attendu : votre coffre est synchronisé entre tous vos appareils via le cloud Bitwarden chiffré de bout en bout. Erreur courante : Error: Cannot decrypt → vérifiez que le mot de passe maître est correct (majuscules, accents). Si vous avez activé le 2FA et perdu votre appareil, utilisez la clé de récupération fournie lors de l'activation.
Configurer KeePassXC pour un stockage 100% local
KeePassXC stocke vos identifiants dans un fichier .kdbx chiffré en AES-256 ou ChaCha20. Aucune donnée ne quitte votre machine.
# Installation sur Ubuntu/Debian
sudo apt install keepassxc # Installation sur macOS avec Homebrew
brew install --cask keepassxc # Installation sur Windows
# Télécharger sur https://keepassxc.org/download/ puis exécuter l'installeurPremier lancement : créer une base de données → choisir AES-256 + Argon2id → définir un mot de passe maître de 7+ mots → enregistrer le fichier .kdbx dans un dossier synchronisé (Nextcloud, Syncthing) pour l'accès mobile.
Authentification à deux facteurs (2FA) : le complément obligatoire
Le mot de passe seul ne suffit plus. La CNIL exige 80 bits d'entropie pour l'authentification par mot de passe unique, mais seulement 50 bits si une mesure complémentaire est en place (temporisation après échecs, blocage après 10 tentatives, CAPTCHA). L'authentification à deux facteurs réduit considérablement le risque : même si votre mot de passe est volé, l'attaquant ne peut pas se connecter sans le second facteur.
Clé de sécurité matériel (recommandé) : YubiKey 5 (40-55 €), Nitrokey 3 (39 €). La clé se branche en USB ou NFC, aucune batterie à recharger, résistante au phishing car le domaine est vérifié automatiquement.
Application TOTP : Bitwarden Authenticator (iOS/Android), Google Authenticator, Authy. Le TOTP génère un code à 6 chiffres toutes les 30 secondes. Bitwarden l'intègre directement dans son plan gratuit depuis 2023.
SMS (déconseillé) : La CNIL et l'ANSSI déconseillent le SMS comme second facteur car il est vulnérable au SIM swapping et à l'interception. À n'utiliser que si aucune autre option n'est disponible.
Les erreurs fatales que 80% des utilisateurs commettent encore
Erreur 1 — Réutiliser le même mot de passe. Selon le rapport Verizon 2024, 74% des piratages exploitent des identifiants réutilisés récupérés dans des fuites antérieures. Utilisez le générateur intégré de votre gestionnaire pour créer des mots de passe uniques de 16+ caractères pour chaque service.
Erreur 2 — Croire qu'un mot de passe complexe court est plus sûr qu'un mot de passe long simple. « P@ssw0rd! » (9 caractères avec complexité) offre environ 52 bits d'entropie. « mon chat bleu danse sous pluie » (30 caractères sans complexité) offre plus de 100 bits. La longueur bat toujours la complexité.
Erreur 3 — Stocker ses mots de passe dans un fichier Excel, un carnet ou les favoris du navigateur. Les favoris Chrome et Firefox ne sont pas chiffrés localement par défaut et se synchronisent en clair sur les serveurs Google/Mozilla. Un gestionnaire de mots de passe chiffre localement avant toute synchronisation.
Que faire si votre mot de passe a été compromis
Si votre adresse e-mail apparaît dans une fuite de données :
1. Changez immédiatement le mot de passe du service compromis.
2. Changez le même mot de passe sur TOUS les autres services où vous l'aviez réutilisé.
3. Activez le 2FA sur le service compromis et sur tous les autres.
4. Vérifiez si d'autres données personnelles ont fuité sur Have I Been Pwned.
5. Signalez la fuite à la CNIL via cnil.fr/fr/plaintes si le service est français ou cible des résidents français.
Étapes à suivre5
Étape 1 — Installer un gestionnaire de mots de passe
Téléchargez Bitwarden sur bitwarden.com/download (version gratuite, open-source). Installez l'extension pour votre navigateur (Chrome, Firefox, Safari ou Edge), puis l'application mobile sur iOS ou Android. Créez un compte avec une adresse e-mail et un mot de passe maître de 7+ mots comme « ElephantBleuDanseSousPluieFroide2026 ». Ce mot de passe maître est le seul que vous devez retenir — il protège l'intégralité de votre coffre chiffré. Vérifiez que l'extension apparaît dans la barre d'outils de votre navigateur et que la connexion automatique fonctionne en vous connectant sur vault.bitwarden.com. Si vous préférez un stockage 100% local sans cloud, installez KeePassXC 2.7.12 depuis keepassxc.org (Windows, macOS, Linux) et KeePassDX 4.4.2 sur Android depuis F-Droid ou le Play Store.Étape 2 — Importer vos mots de passe existants
Avant de créer de nouveaux mots de passe, importez ceux que vous utilisez déjà. Dans Chrome : Paramètres > Mots de passe > Télécharger le fichier CSV. Dans Firefox : Paramètres > Vie privée > Identifiants enregistrés > Importer/Exporter. Dans Bitwarden : Outils > Importer > sélectionner le format CSV de votre navigateur. Dans KeePassXC : Base de données > Importer > sélectionner le CSV. Après l'import, vérifiez que tous vos comptes sont présents. Bitwarden détecte les doublons et les fusionne automatiquement. KeePassXC vous permet de les visualiser et les nettoyer manuellement. Supprimez le fichier CSV d'importation de votre ordinateur après vérification — il contient vos mots de passe en clair.
Étape 3 — Générer des mots de passe uniques pour chaque service
Pour chaque compte, utilisez le générateur intégré de votre gestionnaire pour créer un mot de passe unique de 16 caractères minimum incluant majuscules, minuscules, chiffres et caractères spéciaux. Dans Bitwarden : appuyez sur l'icône générateur dans l'extension, choisissez longueur 20, cochez majuscules + minuscules + chiffres + spéciaux, puis copiez-collez. Dans KeePassXC : Outils > Générateur de mots de passe > longueur 20 > tous les jeux de caractères cochés. Alternez entre les comptes prioritaires en premier : e-mail principal, banque, impôts, CPAM, assurance, puis réseaux sociaux et services secondaires. La CNIL exige 80 bits d'entropie minimum — un mot de passe de 20 caractères aléatoires offre 119 bits, largement au-dessus du seuil.
Étape 4 — Activer l'authentification à deux facteurs (2FA)
Ajoutez un second facteur sur chaque service qui le propose. Priorité : e-mail principal (protège la réinitialisation de tous vos autres mots de passe), banque, CPAM/ameli.fr, impots.gouv.fr, réseaux sociaux. Dans Bitwarden, le TOTP est intégré au plan gratuit : ajoutez la clé secrète TOTP dans le champ dédié du coffre, puis copiez le code à 6 chiffres depuis l'extension. Si vous avez un budget de 40-55 €, achetez une clé de sécurité YubiKey 5 ou Nitrokey 3 — elle résiste au phishing car le domaine est vérifié automatiquement. Évitez le SMS comme second facteur : la CNIL et l'ANSSI le déconseillent en raison du risque de SIM swapping.
Étape 5 — Vérifier et maintenir la sécurité de vos comptes
Inscrivez votre adresse e-mail sur Have I Been Pwned pour être alerté automatiquement si elle apparaît dans une fuite de données. Dans Bitwarden, utilisez le « Rapport de sécurité » (Outils > Rapport de sécurité) qui identifie les mots de passe réutilisés, faibles ou exposés dans des fuites connues. Résolvez chaque alerte en remplaçant le mot de passe par un nouveau mot de passe unique de 20 caractères. Vérifiez vos comptes prioritaires tous les 3 mois : e-mail, banque, administration fiscale, CPAM. Mettez à jour votre gestionnaire lorsque des mises à jour de sécurité sont publiées — Bitwarden et KeePassXC publient des correctifs régulièrement (KeePassXC 2.7.12 corrige des vulnérabilités d'injection DLL sur Windows).
Conseils pratiques
- Utilisez une phrase de passe de 7+ mots comme mot de passe maître Bitwarden : « MonChatBleuDanseSousPluieFroide2026 » offre 100+ bits d'entropie et se retient plus facilement qu'un mot de passe aléatoire de 12 caractères.
- Activez le déverrouillage biométrique (empreinte digitale ou Face ID) sur l'application mobile Bitwarden : cela évite de taper le mot de passe maître à chaque ouverture tout en conservant la sécurité.
- Exportez une sauvegarde chiffrée de votre coffre Bitwarden chaque mois (Outils > Exporter > format .json chiffré) et stockez-la sur une clé USB ou un disque externe. En cas de perte d'accès au cloud Bitwarden, cette sauvegarde est votre seule récupération.
Points d'attention
- Erreur : « Cannot decrypt » à la connexion Bitwarden → vérifiez les majuscules et accents du mot de passe maître. Si le 2FA est activé et que vous avez perdu votre appareil, utilisez la clé de récupération fournie lors de l'activation (imprimez-la et stockez-la dans un coffre).
- Erreur : le presse-papiers Windows (Win+V) conserve l'historique des mots de passe copiés même après la purge automatique de Bitwarden → désactivez l'historique du presse-papiers (Paramètres > Presse-papiers > Désactiver l'historique) ou utilisez l'autoremplissage intégré au lieu de copier-coller.
- Erreur : « Login form not detected » dans l'extension Bitwarden → certains sites utilisent des formulaires non standard. Utilisez le raccourci Ctrl+Shift+L pour forcer l'autoremplissage, ou ajoutez manuellement l'entrée dans le coffre avec l'URL exacte du site.
Questions fréquentes5
Les gestionnaires de mots de passe sont-ils vraiment sécurisés ?
Oui. Bitwarden et KeePassXC sont open-source : leur code est audité publiquement. Le chiffrement AES-256 et Argon2id protège vos identifiants même si le serveur de Bitwarden est compromis — les données sont chiffrées de bout en bout et le serveur ne voit que des données illisibles. La CNIL recommande explicitement l'usage d'un gestionnaire de mots de passe dans sa délibération 2022-100.
Que faire si j'oublie mon mot de passe maître Bitwarden ?
Sans le mot de passe maître, le coffre est irrécupérable — c'est le principe du chiffrement de bout en bout. Bitwarden propose l'accès d'urgence (gratuit) : vous désignez un contact de confiance qui peut demander l'accès à votre coffre après un délai configurable (7 jours par défaut). Pour KeePassXC, gardez une copie papier du mot de passe maître dans un coffre-fort ou un lieu sûr.
Bitwarden ou KeePassXC : lequel choisir ?
Bitwarden si vous voulez la synchronisation automatique entre PC, mobile et navigateur sans configuration technique. KeePassXC si vous refusez que vos identifiants passent par un serveur cloud, même chiffré. La combinaison KeePassXC (PC) + KeePassDX (Android) + Syncthing (synchronisation P2P chiffrée) offre un niveau de confidentialité maximal sans compromis sur la sécurité.
Comment vérifier si mon mot de passe a fuité ?
Allez sur haveibeenpwned.com et entrez votre adresse e-mail. Le site référence plus de 12 milliards de comptes compromis dans des fuites connues. Bitwarden intègre aussi un vérificateur dans Outils > Rapport de sécurité > Mots de passe exposés. Si votre e-mail apparaît, changez immédiatement le mot de passe du service concerné et de tout autre service où vous l'aviez réutilisé.
La CNIL impose-t-elle des règles sur les mots de passe ?
Oui. La délibération CNIL n° 2022-100 du 21 juillet 2022 impose un minimum de 80 bits d'entropie pour l'authentification par mot de passe seul (12 caractères variés ou 14 alphanumériques), interdit le renouvellement forcé périodique pour les comptes standards, exige la vérification contre les bases de données de mots de passe compromis, et prohibé les questions de sécurité comme méthode de récupération. Le non-respect peut entraîner une amende allant jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 15 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.