J'ai failli me faire compromettre à cause de mes mots de passe. Voici ce que j'ai changé.
J'ai failli me faire compromettre… à cause de mes mots de passe. Et ça m'a fait remettre en question tout ce qu'on nous a appris.
Vous vous souvenez des « règles » ? 12 caractères minimum, 1 majuscule, 1 chiffre, 1 symbole, changer tous les 90 jours, ne jamais les écrire.
👉 Spoiler : une grande partie de ces pratiques est dépassée.
Voici ce que recommandent aujourd'hui les bonnes pratiques — inspirées du NIST.
📌 Mythes vs Bonnes pratiques (NIST)
Complexité artificielle
"Tr0ub4dor&3"
Difficile à retenir, prévisible pour les attaquants
Longueur > complexité
"correct horse battery staple"
Plus long, beaucoup plus résistant au brute force
Rotation forcée tous les 90 jours
Pousse à recycler des variantes faibles (+1, +2…)
Changer uniquement en cas de risque
Compromission suspectée ou fuite de données confirmée
Questions de sécurité
Nom de jeune fille, ville de naissance…
Facilement trouvables via réseaux sociaux et OSINT
MFA partout
TOTP, clé physique, passkey
Indispensable aujourd'hui sur tous les comptes sensibles
Mémoriser tous ses mots de passe
Impossible pour des dizaines de mots de passe uniques
Gestionnaire de mots de passe
Bitwarden, 1Password, KeePass
Mots de passe longs, uniques, générés automatiquement
🗝️1. Gestionnaire de mots de passe
👉 Bitwarden (gratuit & open source) recommandé.
- Génère des mots de passe longs et uniques
- Stockage chiffré avec un seul mot de passe maître
- Disponible sur tous vos appareils
📱2. MFA sur tous les comptes sensibles
👉 Email, banque, cloud, réseaux sociaux en priorité.
- Application TOTP (Aegis, Authy, Microsoft Authenticator)
- Clé physique (YubiKey) pour les comptes critiques
- Éviter le SMS si possible (SIM swapping)
🔍3. Vérifier son exposition
👉 haveibeenpwned.com — gratuit et fiable.
- Entrer votre email pour voir les fuites connues
- Activer les alertes pour les nouvelles fuites
- Changer immédiatement les mots de passe exposés
80%+
des compromissions impliquent des identifiants
Réutilisation de mots de passe, fuites de bases de données, credential stuffing
Source : Verizon DBIR 2025
Des millions de comptes fuitent chaque mois. Vérifiez votre exposition sur haveibeenpwned.com — c'est gratuit et prend 30 secondes.
🎯 15 minutes ce soir — et c'est réglé
👉 15 minutes = des années de tranquillité
- 1Installer un gestionnaire de mots de passe (Bitwarden recommandé)
- 2Sécuriser votre email principal avec un mot de passe long et unique
- 3Activer le MFA sur votre email, banque et réseaux sociaux
🧠 À retenir
Personne ne peut mémoriser des dizaines de mots de passe uniques et complexes.
Et c'est tout à fait normal.
La solution n'est pas de se forcer à mémoriser — c'est d'utiliser les bons outils.
✔ Longueur > complexité artificielle
✔ Gestionnaire de mots de passe = standard aujourd'hui
✔ MFA = la ligne de défense la plus efficace après le mot de passe
Vous utilisez déjà un gestionnaire de mots de passe… ou pas encore ? Qu'est-ce qui vous retient ?
Besoin d'un accompagnement personnalisé ?
NagaShield Security vous aide à mettre en place ces mesures de manière concrète, adaptée à votre structure et votre budget.
Demander un diagnostic gratuitArticles similaires
Vulnerability Management : le vrai défi n'est pas de trouver les failles, c'est de prioriser
4 min
Le plus grand défi du RSSI n'est pas technique : convaincre son COMEX
4 min
Sortir du mode pompier : comment une équipe sécurité passe du réactif au proactif
5 min