Comment créer un mot de passe sécurisé en 2026

Un mot de passe bien choisi reste votre première barrière contre le piratage de comptes. Pourtant, les conseils sur ce qu'est un « bon mot de passe » ont radicalement évolué ces 5 dernières années. Sur seconnecter.be, nous publions ce guide indépendant pour vous donner les règles à jour en 2026, applicables sur tous les sites populaires en Belgique (Facebook, Gmail, banques en ligne, etc.).

Pourquoi vos anciens réflexes ne suffisent plus

Les attaques contre les mots de passe ont changé :

• Les listes de mots de passe volés circulent par milliards. Si vous utilisez le même mot de passe sur plusieurs sites, un seul site piraté = tous vos comptes en danger (« credential stuffing »).
• Les attaques par force brute testent des milliards de combinaisons par seconde : 8 caractères ne tiennent plus quelques heures.
• L'IA générative permet aux attaquants de personnaliser des tentatives à partir de vos données publiques (anniversaire, prénom des enfants, équipe favorite).

La règle nº1 en 2026 : la longueur, pas la complexité

Les recommandations officielles (NIST aux USA, ANSSI en France, CCB en Belgique) convergent :

• Minimum 12 caractères, idéalement 14-16+.
• La longueur compte beaucoup plus que la complexité avec symboles.
• Une phrase de passe de 4-5 mots aléatoires non liés est plus forte ET plus mémorisable que « P@ssw0rd123 ».

Exemple de phrase forte : vélo-pluie-cactus-Bruxelles-42 (5 mots aléatoires + nombre, 27 caractères, virtuellement incassable).

Mauvais exemple : P@ssw0rd2026! (12 caractères mais facilement deviné par les outils modernes).

Les 7 règles à respecter en 2026

1. Longueur ≥ 12 caractères, idéalement 16+.
2. Unique pour chaque site : jamais le même mot de passe ailleurs.
3. Pas de mots du dictionnaire seuls, mais une combinaison de plusieurs mots ou une phrase.
4. Aucune information personnelle évidente : pas votre nom, date de naissance, ville, équipe favorite — toutes ces infos sont publiques.
5. Mélanger majuscules, minuscules, chiffres et symboles si le site le permet, mais sans en faire un casse-tête.
6. Pas de réutilisation, même avec une variation (ex: ne pas faire « Belfius1! » et « Facebook1! »).
7. Activez la 2FA partout où c'est possible : le mot de passe seul, même fort, ne suffit plus.

L'astuce qui change tout : le gestionnaire de mots de passe

Mémoriser 100 mots de passe différents est impossible. La solution : un gestionnaire de mots de passe. Il génère des mots de passe aléatoires forts et les retient pour vous. Vous ne mémorisez qu'un seul mot de passe maître pour le gestionnaire.

Options recommandées en 2026 :

• Bitwarden (gratuit et open-source, recommandé pour la majorité) : bitwarden.com
• 1Password (payant ~3€/mois, excellent UX, recommandé pour les familles) : 1password.com
• KeePassXC (gratuit, hors ligne, pour les utilisateurs avancés) : keepassxc.org
• Trousseau iCloud (gratuit pour utilisateurs Apple) : intégré nativement, fonctionne sur tous vos appareils Apple.

⚠️ Évitez de stocker vos mots de passe dans le navigateur si l'ordinateur est partagé : trop facile à extraire en cas d'accès physique.

Le mot de passe maître : votre seule règle à mémoriser

Le mot de passe maître de votre gestionnaire doit être :

• Unique (jamais utilisé ailleurs).
• Long (16+ caractères).
• Mémorisable : une phrase composée de mots aléatoires.
• Jamais écrit (sauf en lieu très sûr : coffre-fort, papier scellé).

Activez la 2FA, partout

L'authentification à 2 facteurs (2FA) est le complément indispensable d'un bon mot de passe. Même si votre mot de passe est compromis, sans le second facteur, le pirate ne peut pas se connecter.

En Belgique, plusieurs options :

• itsme pour les services publics et bancaires (très répandu en Belgique).
• Application authenticator (Google Authenticator, Authy, 2FAS) : génère des codes à 6 chiffres.
• Clé de sécurité physique (YubiKey, Google Titan) : ultra-sécurisé pour comptes sensibles.
• SMS : mieux que rien mais vulnérable au SIM-swap, à éviter pour les comptes sensibles.

Pour activer la 2FA sur les principaux services :

• Facebook → Paramètres → Mot de passe et sécurité.
• Gmail / Google → myaccount.google.com/security.
• Banques belges (Belfius, ING, BNP Paribas Fortis) : 2FA obligatoire via PSD2 (carte+lecteur ou itsme).

Les 5 erreurs les plus courantes en 2026

1. Réutiliser le même mot de passe sur plusieurs sites.
2. Choisir un mot de passe basé sur des infos personnelles publiques.
3. Croire que « P@ssw0rd! » est sécurisé (les outils trouvent ça en secondes).
4. Désactiver la 2FA parce que c'est « pénible » — c'est ce qui arrive aux comptes piratés.
5. Stocker ses mots de passe dans un fichier Excel ou un email à soi-même.

Que faire si l'un de vos mots de passe a fuité ?

Vérifiez régulièrement sur haveibeenpwned.com : le service vous indique si votre email apparaît dans des fuites de données. Si oui :

1. Changez immédiatement le mot de passe sur le site concerné.
2. Changez aussi tous les autres sites où vous avez utilisé ce même mot de passe.
3. Activez la 2FA partout.
4. Vérifiez votre activité sur les comptes concernés (connexions inhabituelles).

FAQ

Faut-il changer son mot de passe régulièrement ?

NON. Les recommandations 2026 disent l'inverse : changer un bon mot de passe « pour le principe » est inutile et conduit à des mots de passe plus faibles. Changez SEULEMENT si vous suspectez une compromission.

Les questions de sécurité sont-elles fiables ?

Non. La plupart des questions (« nom de jeune fille de votre mère », « ville de naissance ») sont trouvables en ligne. Si un service vous force à en répondre, mettez des réponses inventées (et stockez-les dans votre gestionnaire).

Le « passkey » remplace-t-il le mot de passe ?

Oui, c'est l'avenir. Les passkeys (clés cryptographiques liées à votre appareil) remplacent les mots de passe sur de plus en plus de services en 2026 (Google, Apple, Microsoft). Activez-les dès qu'ils sont disponibles : ils sont à la fois plus simples et plus sécurisés.

Mon mot de passe Wi-Fi domestique compte-t-il ?

OUI. Un Wi-Fi non sécurisé permet à un voisin malveillant d'accéder à votre réseau, voir votre trafic, infecter vos appareils. Mot de passe Wi-Fi : 14+ caractères, WPA3 si possible.

Les pages de connexion bancaires sont-elles plus sécurisées ?

Oui, en Belgique, les banques utilisent l'authentification forte (carte + lecteur, ou itsme) imposée par PSD2. Mais cela ne vous protège pas du phishing : ne saisissez vos codes que sur le vrai site bancaire (vérifiez toujours l'URL).

En résumé

• Mot de passe ≥ 12 caractères, unique par site.
• Utilisez un gestionnaire de mots de passe.
• Activez la 2FA partout (idéalement via app authenticator ou itsme).
• Vérifiez régulièrement vos fuites sur haveibeenpwned.com.
• Si vous suspectez un piratage, changez le mot de passe ET déconnectez les sessions actives.

Pour les guides spécifiques par site, consultez nos pages dédiées sur Facebook, Gmail, Belfius, Itsme et tous les 25 sites couverts par seconnecter.be.