Mots de passe : ce qui marche vraiment en 2025
On entend tout et son contraire sur les mots de passe. Les données 2025 confirment : les identifiants volés restent une porte d’entrée majeure. Un bon secret, unique, et un second facteur font toute la différence.
Ce que disent les chiffres 2025
Dans le rapport Verizon DBIR 2025, l’abus d’identifiants est le premier vecteur d’accès initial observé (22 %), devant l’exploitation de failles (20 %) et le phishing (16 %). Plus globalement, 6 breches sur 10 impliquent « l’élément humain » (erreurs, pièges, mots de passe réutilisés). Autrement dit, un bon mot de passe et un second facteur restent vos meilleurs alliés.
Longueur > complexité : les nouvelles règles
Les directives NIST SP 800‑63B‑4 (juil. 2025) clarifient : en mono‑facteur, exiger au moins 15 caractères. Avec MFA, la longueur peut être moindre, mais plus c’est long, mieux c’est. Finies les règles artificielles « 1 majuscule + 1 chiffre + 1 symbole » : le NIST recommande de ne pas imposer ces contraintes et de bloquer les secrets trop courants ou compromis (blocklist).
Le NCSC (R.-U.) conseille une méthode mémorisable qui tient la route : « trois mots aléatoires » (ex. tasse‑nuage‑vélo — n’utilisez pas cet exemple). Assez long pour résister aux attaques automatiques, assez simple pour éviter les post‑it.
Faut‑il changer son mot de passe tous les 90 jours ?
Non (sauf signe de compromission). Le NIST déconseille les changements périodiques imposés : ils poussent à créer des variantes prévisibles (Password1! → Password2!) sans gain réel de sécurité. En revanche, changez immédiatement en cas d’indice de fuite : alerte d’un service, activité suspecte, vulnérabilité critique, etc.
Savoir si son mot de passe a fuité (et quoi faire)
La réutilisation « partout » reste le piège n°1. Vérifiez vos adresses sur Have I Been Pwned et, au besoin, testez des secrets isolés via « Pwned Passwords ». En 2025, le fameux total « 16 milliards » était surtout un mélange de journaux d’info‑stealers ; au final, HIBP a ajouté 109 millions d’e‑mails uniques. Bref : vérifiez, changez, et ne réutilisez jamais.
Gestionnaires de mots de passe : utiles et recommandés
Le NIST voit positivement les gestionnaires : ils génèrent des secrets longs et uniques et les chiffrent dans un coffre local ou cloud. Bonnes pratiques :
- Phrase maître longue et unique.
- MFA activée sur le coffre.
- Éviter les solutions qui permettent de récupérer facilement la clé maître.
- Autoriser le copier‑coller dans les champs mot de passe (souvent bloqué à tort).
- Utiliser le générateur pour des fausses réponses aux questions « secrètes ».
Ajoutez un second facteur : applis, clés, passkeys
La MFA reste un des meilleurs moyens de déjouer les prises de compte. Visez des facteurs résistants au phishing : FIDO2/WebAuthn (clés physiques) et passkeys intégrées (biométrie + cryptographie). À défaut, les applis d’authentification sont préférables à l’e‑mail ou à la voix (que le NIST n’autorise pas comme canaux d’authentification hors bande).
Passkeys en pratique : c’est quoi, et où ça marche ?
Une passkey remplace le mot de passe par une paire de clés : la publique va au site, la privée reste sur votre appareil/gestionnaire. Résultat : rien à taper, et surtout rien à phisher. En 2025, l’adoption accélère : Apple, Google et Microsoft ont intégré la création, la synchronisation et la gestion des passkeys dans leurs plateformes (iOS/macOS, Android/Chrome, Windows/Edge).
Petits gestes qui changent tout
- Choisissez une phrase de 15 caractères et + si elle sert seule.
- Ne réutilisez rien ; un mot de passe = un service.
- Activez la MFA partout, idéalement résistante au phishing.
- Passez à un gestionnaire (et aux passkeys quand proposées).
- Évitez de cliquer depuis un e‑mail : ouvrez le site à la main.
- Côté TPE : prévoyez des procédures de récupération (codes de secours hors‑ligne, contacts d’urgence) et un plan de réponse.
Un mot sur les « faits divers » et les gros chiffres
Les annonces de « milliards de mots de passe » agrègent souvent d’anciennes fuites et des journaux de malwares voleurs d’infos. L’important n’est pas le nombre total, mais de savoir si vos identifiants y figurent, et d’agir vite. L’épisode « Data Troll » (été 2025) l’a rappelé : bruit médiatique énorme, mais 109 M d’e‑mails uniques utiles pour la prévention.
En deux lignes : la recette 2025
Long et unique (idéalement trois mots aléatoires), gestionnaire, MFA résistante au phishing, et passkeys dès que possible. Simple, efficace, et aligné avec les référentiels officiels (NIST, NCSC, CISA).
Sources (principales)
- Verizon — DBIR 2025 : rôle des identifiants (22 %), 60 % « élément humain », liens avec les stealer logs et les rançongiciels.
- NIST — SP 800‑63B‑4 (juil. 2025) : longueur ≥ 15 en mono‑facteur, blocklist, fin des règles de composition imposées.
- NIST — FAQ 800‑63 : pas de changement périodique arbitraire ; position sur gestionnaires ; e‑mail/voix non autorisés out‑of‑band.
- NCSC (UK) — Approche « trois mots aléatoires » (notes 2025).
- CISA — MFA résistante au phishing (FIDO/WebAuthn), bonnes pratiques et cas d’usage.
- Have I Been Pwned — « Pwned Passwords », mise au point sur « Data Troll » (été 2025).
- Passkeys — plateformes : Apple (iCloud Keychain), Google (Account/Chrome), Microsoft (Windows/Hello).