Passefort Créer un mot de passe

Auteur/autrice : Alexandre_Boulanger

  • Où et comment conserver ses codes de récupération ?

    Préparer la perte d’un appareil

    Où et comment conserver ses codes de récupération ?

    Ces codes peuvent rouvrir un compte sans le téléphone : protégez-les comme des clés de secours.

    Réponse immédiate : conservez les codes de récupération dans deux emplacements sûrs et indépendants : par exemple une copie imprimée dans un coffre ou avec vos documents importants, et une copie chiffrée dans un gestionnaire. Pour récupérer ce gestionnaire lui-même, gardez impérativement une copie en dehors du coffre et de l’appareil principal.

    Codes de récupération conservés sur papier dans un coffre et dans une sauvegarde chiffrée
    Illustration prévue : les copies sont séparées afin qu’une panne, un vol ou un incendie ne les détruise pas toutes.

    Pourquoi ces codes sont-ils sensibles ?

    Un code de récupération permet généralement de contourner l’indisponibilité du facteur habituel. Selon le service, il est à usage unique ou remplacé par un nouveau jeu. Toute personne qui le possède peut parfois accéder au compte : ne l’envoyez jamais par messagerie et ne le communiquez pas à un support qui vous contacte.

    Les solutions recommandées

    EmplacementBon usagePoint de vigilance
    Copie impriméeCoffre, armoire fermée ou documents importantsProtéger du vol, de l’humidité et du feu
    Gestionnaire de mots de passeCodes des comptes ordinairesNe pas en faire l’unique copie pour récupérer le coffre
    Support chiffré hors ligneSauvegarde secondaireTester le déchiffrement et documenter la procédure
    Personne de confiancePlan familial ou succession numériqueUtiliser une enveloppe scellée et des instructions claires

    Ce qu’il vaut mieux éviter

    • Une capture d’écran laissée dans la galerie synchronisée.
    • Un fichier texte sur le bureau nommé codes-secours.txt.
    • Un e-mail envoyé à soi-même sans chiffrement.
    • La seule copie enregistrée sur le téléphone servant de second facteur.
    • La seule copie stockée dans le gestionnaire qu’elle doit permettre de récupérer.
    • Une impression laissée près de l’ordinateur dans un espace partagé.
    Exemple original

    Maël perd son téléphone pendant un voyage. Un code Google est dans son gestionnaire accessible depuis l’ordinateur : il récupère sa messagerie. Le code de secours du gestionnaire, lui, est imprimé dans un coffre chez lui et confié sous enveloppe à une personne désignée.

    Créer une petite procédure de secours

    1. Générez les codes depuis les paramètres officiels du compte.
    2. Notez le service et la date, mais jamais le mot de passe à côté de la copie papier.
    3. Créez deux copies adaptées au niveau de sensibilité.
    4. Testez si le service permet de vérifier un code sans invalider toute la procédure.
    5. Marquez immédiatement les codes déjà utilisés.
    6. Si une copie est perdue ou photographiée, régénérez le jeu : les anciens codes deviennent généralement invalides.
    7. Révisez la procédure après un changement de téléphone, de gestionnaire ou de passkey.
    Le NIST distingue les codes sauvegardés et les codes envoyés

    Un code sauvegardé à l’avance est destiné à être maintenu hors ligne de façon sûre. Un code reçu par SMS ou e-mail lors de la récupération dépend, lui, de la sécurité du canal de récupération.

    Guides associés

    Sources officielles consultées

    Préparez la récupération avant de perdre un appareil.

    La meilleure procédure est celle que vous avez déjà testée.

    Revoir les méthodes 2FA
  • Peut-on faire confiance à un générateur de mots de passe ?

    Vérifier avant de générer

    Peut-on faire confiance à un générateur de mots de passe ?

    Oui, si l’outil utilise une source cryptographique, travaille localement et permet de contrôler ce que fait son code.

    Réponse immédiate : oui, à condition que le générateur emploie une source aléatoire cryptographique, génère le résultat sur votre appareil, ne le transmette pas et soit chargé par une connexion HTTPS fiable. Écartez les outils opaques qui utilisent Math.random(), promettent d’envoyer le résultat par e-mail ou enregistrent un historique sur leur serveur.

    Checklist technique pour vérifier un générateur de mots de passe local et cryptographique
    Illustration prévue : source d’aléa, lieu de génération, réseau et transparence du code sont vérifiés séparément.

    Les cinq critères de confiance

    Aléa cryptographique

    L’outil utilise l’API cryptographique du système ou du navigateur.

    Génération locale

    Le secret est calculé dans l’appareil, sans requête vers un serveur.

    Absence de biais

    La sélection ne favorise pas certains caractères par une réduction naïve.

    Code contrôlable

    La méthode est expliquée et peut être inspectée dans le navigateur.

    Ce que fait précisément Passefort

    Le générateur appelle window.crypto.getRandomValues(), l’API documentée par les navigateurs pour obtenir des valeurs adaptées à un usage cryptographique. Il rejette les valeurs situées au-delà d’une limite calculée avant d’appliquer le modulo : cette technique évite de favoriser certains indices lorsque la taille de l’alphabet ne divise pas exactement l’espace des nombres tirés.

    Il impose ensuite au moins un caractère de chaque famille sélectionnée, complète la longueur demandée et mélange le résultat avec Fisher–Yates en utilisant la même source sûre. Si l’API cryptographique n’est pas disponible, il affiche une erreur au lieu de revenir à une méthode moins robuste.

    Vérification du comportement réseau

    Le code de génération de Passefort ne contient ni fetch(), ni XMLHttpRequest, ni stockage local du mot de passe. Le presse-papiers n’est sollicité que lorsque vous choisissez « Copier ». Consultez le détail sur la page Comment ça marche ?.

    Les signes d’un outil à éviter

    • Il propose d’envoyer ou de sauvegarder le mot de passe en clair.
    • Il utilise Math.random() comme seule source de tirage.
    • Il exige un compte sans raison pour générer un simple secret.
    • Il produit toujours des structures similaires ou des fragments de mots.
    • Il ne fonctionne que par une requête distante impossible à justifier.
    • Il est intégré à une page non sécurisée ou chargée depuis un domaine inattendu.
    Exemple original

    Un générateur affiche toujours deux majuscules, six minuscules puis deux chiffres. Même si chaque caractère paraît aléatoire, la structure fixe réduit les possibilités. Un outil fiable explique ses contraintes et mélange l’ensemble du résultat.

    Ce qu’un bon générateur ne résout pas

    Un excellent tirage devient inutile si vous réutilisez le résultat, le collez sur un faux site ou le laissez dans une note publique. Utilisez une longueur suffisante, enregistrez-le dans un gestionnaire, gardez-le unique et activez la 2FA.

    Guides associés

    Sources techniques primaires

    Testez directement la génération locale.

    Le résultat est produit dans votre navigateur et n’est pas enregistré.

    Ouvrir Passefort
  • Comment reconnaître un e-mail de phishing ?

    Déjouer l’hameçonnage

    Comment reconnaître un e-mail de phishing ?

    La grammaire parfaite et le cadenas HTTPS ne suffisent plus : il faut vérifier l’identité du site et la logique de la demande.

    Réponse immédiate : méfiez-vous d’un message qui provoque l’urgence, demande un secret ou un paiement, contient une pièce jointe inattendue ou renvoie vers un domaine inhabituel. Ne cliquez pas pour vérifier : ouvrez vous-même le site officiel ou contactez l’expéditeur par un autre canal.

    Analyse d’un e-mail de phishing montrant le vrai domaine, le lien et la demande urgente
    Illustration prévue : aucun indice isolé ne suffit, mais l’ensemble révèle souvent l’attaque.

    Les signaux qui doivent vous arrêter

    • Urgence ou menace : « compte fermé dans 30 minutes », amende ou colis bloqué.
    • Demande sensible : mot de passe, code 2FA, code de récupération, carte bancaire ou virement.
    • Domaine trompeur : ajout d’un mot, d’un tiret ou substitution d’un caractère.
    • Contexte incohérent : service inconnu, facture inattendue ou procédure différente de l’habitude.
    • Pièce jointe imprévue : archive, document demandant d’activer des macros ou fausse facture.
    • Pression au secret : demande de ne prévenir personne ou de rester au téléphone.
    Ce qui ne prouve pas qu’un message est authentique

    Le logo, le nom affiché, une adresse d’expéditeur plausible, une langue impeccable et le cadenas HTTPS peuvent tous être reproduits ou usurpés. HTTPS chiffre la connexion au site affiché ; il ne certifie pas que ce site est celui que vous vouliez visiter.

    Lire correctement une adresse

    Dans connexion.banque-exemple.securite-client.net, le domaine contrôlé est securite-client.net, pas banque-exemple. À l’inverse, alertes.banque-exemple.fr appartient bien au domaine banque-exemple.fr. Sur mobile, touchez longuement le lien sans l’ouvrir pour afficher sa destination, puis annulez.

    Exemple original

    Un message annonce à Émile un remboursement de 38,40 €. Le bouton « Voir mon remboursement » pointe vers impots-gouv-remboursement.com. Il ferme le message, saisit lui-même impots.gouv.fr et ne trouve aucune notification : il vient d’éviter le piège.

    Le réflexe de vérification

    1. N’ouvrez ni lien ni pièce jointe.
    2. Accédez au service depuis votre application, un favori connu ou une adresse saisie manuellement.
    3. Consultez les notifications directement dans le compte.
    4. Appelez l’organisme avec un numéro obtenu sur son site officiel, pas celui du message.
    5. Signalez le message comme phishing dans la messagerie puis supprimez-le.

    Vous avez cliqué ou transmis une information ?

    Fermez la page. Si vous avez communiqué un mot de passe, suivez immédiatement le guide mot de passe compromis. Si vous avez transmis des données bancaires, contactez votre banque via son numéro officiel. N’approuvez aucune notification 2FA et ne communiquez aucun code de récupération.

    Guides associés

    Sources officielles consultées

    Un mot de passe saisi sur un faux site doit être remplacé.

    Créez une nouvelle combinaison unique depuis un appareil fiable.

    Créer un nouveau secret
  • Passkeys : vont-elles remplacer les mots de passe ?

    L’authentification sans secret partagé

    Passkeys : vont-elles remplacer les mots de passe ?

    Elles suppriment déjà le mot de passe sur certains services, mais la transition et la récupération demandent encore de la prudence.

    Réponse immédiate : les passkeys remplaceront probablement de nombreux mots de passe, mais pas tous immédiatement. Elles offrent une connexion plus résistante au phishing grâce à une paire de clés cryptographiques liée au domaine. Tant que les services, appareils et procédures de récupération ne les prennent pas tous en charge, mots de passe et passkeys vont coexister.

    Passkey utilisant une clé privée sur l’appareil et une clé publique sur le service
    Illustration prévue : la clé privée ne quitte pas l’appareil ou le fournisseur qui la synchronise.

    Comment fonctionne une passkey ?

    Lors de l’inscription, l’authentificateur crée une paire de clés. Le service reçoit la clé publique ; la clé privée reste protégée sur votre appareil, une clé physique ou un système de synchronisation. À la connexion, le service envoie un défi. Votre authentificateur le signe après votre consentement, souvent confirmé par le code, l’empreinte ou le visage de l’appareil.

    Exemple original

    Zoé ouvre une imitation de agenda-exemple.fr sur agenda-exemp1e.fr. Sa passkey du premier domaine n’est pas proposée au second : la preuve est liée à l’identité du site, contrairement à un mot de passe que l’on peut recopier partout.

    Ce que les passkeys améliorent

    • Aucun mot de passe partagé à voler dans un formulaire ou à réutiliser.
    • Une clé différente est créée pour chaque service.
    • La liaison au domaine résiste aux faux sites courants.
    • La cryptographie produit des identifiants robustes sans effort de mémorisation.
    • La validation locale peut être plus rapide qu’un mot de passe suivi d’un code.

    Pourquoi les mots de passe ne disparaissent-ils pas encore ?

    Compatibilité

    Tous les services et anciens appareils n’acceptent pas WebAuthn.

    Écosystème

    La synchronisation entre fournisseurs reste un choix à comprendre.

    Récupération

    Une procédure faible peut devenir le nouveau point d’entrée.

    Transition

    Certains comptes conservent un mot de passe de secours actif.

    Si un mot de passe reste associé au compte, sécurisez-le toujours avec un gestionnaire. Ajouter une passkey sans retirer un ancien secret faible ne supprime pas cette voie d’accès.

    Comment les adopter sans se bloquer

    1. Commencez par les comptes importants proposant clairement les passkeys.
    2. Ajoutez une seconde passkey sur un autre appareil ou une clé de sécurité si le service l’autorise.
    3. Vérifiez la synchronisation et la procédure de récupération avant de supprimer le mot de passe.
    4. Protégez le compte qui synchronise vos passkeys avec une authentification forte.
    5. Conservez les codes de récupération dans un lieu indépendant.
    6. Continuez à vérifier les messages de phishing : la passkey protège la connexion, pas toutes les manipulations.

    Guides associés

    Sources primaires consultées

    Un service utilise encore un mot de passe ?

    Créez-en un unique en attendant sa prise en charge des passkeys.

    Générer un mot de passe
  • Mot de passe compromis : que faire immédiatement ?

    Agir sans attendre

    Mot de passe compromis : que faire immédiatement ?

    L’ordre des actions compte : reprenez le contrôle, fermez les accès persistants et protégez les autres comptes.

    Réponse immédiate : depuis un appareil fiable, changez le mot de passe, déconnectez les sessions inconnues, vérifiez les coordonnées de récupération et activez la 2FA. Si le secret a été réutilisé, remplacez-le sans délai sur chaque compte concerné, en commençant par la messagerie.

    Liste d’actions urgentes après la compromission d’un mot de passe
    Illustration prévue : reprendre le compte ne suffit pas si des sessions ou des règles frauduleuses subsistent.

    Les actions dans le bon ordre

    1. Utilisez un appareil de confiance. Si vous soupçonnez un logiciel malveillant, mettez le système à jour et lancez l’analyse de sécurité appropriée avant de saisir un nouveau secret.
    2. Récupérez l’accès. Passez par l’application ou l’adresse officielle du service, jamais par le lien du message d’alerte.
    3. Créez un nouveau mot de passe unique. Utilisez 20 caractères ou plus avec le générateur.
    4. Déconnectez les autres sessions. Supprimez les appareils, clés d’application et connexions que vous ne reconnaissez pas.
    5. Contrôlez la récupération. Vérifiez téléphone, adresse secondaire, passkeys et questions de secours.
    6. Activez ou réinitialisez la 2FA. Générez de nouveaux codes de récupération.
    7. Inspectez le compte. Recherchez commandes, messages, publications et modifications inconnues.

    Cas particulier de la messagerie

    Une boîte e-mail compromise peut réinitialiser d’autres comptes tout en dissimulant les alertes. Vérifiez les règles de transfert, filtres, réponses automatiques, délégations, applications tierces et messages supprimés. Prévenez vos contacts si l’attaquant a pu envoyer des messages en votre nom.

    Exemple original

    Après avoir changé son mot de passe, Sami continue de perdre des messages. Il découvre une règle qui transfère toute facture contenant « IBAN » vers une adresse inconnue puis l’archive. Supprimer cette règle est aussi important que remplacer le secret.

    Si le mot de passe était réutilisé

    Dressez la liste de toutes ses copies et variantes. Commencez par la messagerie, le gestionnaire, les comptes financiers, administratifs et professionnels. N’utilisez pas un modèle commun : apprenez pourquoi chaque compte doit avoir son propre secret.

    Conserver les preuves et signaler

    Avant de supprimer les éléments suspects, prenez des captures indiquant dates, appareils, adresses et opérations. Contactez la banque sans attendre en cas de paiement ou de changement de coordonnées. Signalez le piratage au service concerné et utilisez le diagnostic de Cybermalveillance.gouv.fr. Selon le préjudice, conservez les éléments pour un dépôt de plainte.

    Ne payez pas un prétendu support

    Un escroc peut vous contacter après l’incident et demander un code ou une prise en main de l’appareil. Passez toujours par le canal officiel du service.

    Guides associés

    Sources officielles consultées

    Remplacez le secret compromis par un mot de passe unique.

    Le nouveau tirage reste dans votre navigateur.

    Générer maintenant
  • Comment fonctionne l’authentification à deux facteurs ?

    Une seconde preuve d’identité

    Comment fonctionne l’authentification à deux facteurs ?

    La 2FA ajoute une preuve différente au mot de passe et réduit l’impact de son vol.

    Réponse immédiate : l’authentification à deux facteurs, ou 2FA, demande deux preuves de catégories différentes : par exemple un mot de passe que vous connaissez et une clé de sécurité que vous possédez. Si le mot de passe est volé, l’attaquant doit encore obtenir le second facteur.

    Connexion protégée par un mot de passe puis une clé de sécurité comme second facteur
    Illustration prévue : deux facteurs indépendants valent mieux que deux secrets de même nature.

    Les différentes catégories

    Ce que vous savez

    Mot de passe, phrase de passe ou code PIN.

    Ce que vous possédez

    Téléphone, application d’authentification, passkey ou clé physique.

    Ce que vous êtes

    Empreinte ou visage, généralement vérifié localement par l’appareil.

    Deux facteurs distincts

    Deux mots de passe ne constituent pas une véritable 2FA.

    Ce qui se passe lors de la connexion

    Vous saisissez le premier facteur

    Le service vérifie votre mot de passe ou votre phrase de passe.

    Il demande une seconde preuve

    Vous approuvez sur un appareil, saisissez un code temporaire ou touchez une clé.

    La preuve est vérifiée

    Le serveur contrôle qu’elle correspond à l’enregistrement associé au compte.

    La session est ouverte

    Le service peut mémoriser temporairement l’appareil selon sa politique de risque.

    Quelle méthode choisir ?

    MéthodeNiveau pratiqueLimite principale
    Passkey ou clé de sécurité FIDOÀ privilégierCompatibilité et récupération à préparer
    Application de codes temporairesBon choix courantUn faux site peut demander le code en temps réel
    Notification d’approbationBonne si elle affiche le contexteRisque d’approuver machinalement
    SMSMieux que rienInterception et détournement de numéro possibles
    Code reçu par e-mailProtection limitéeDépend de la sécurité de la messagerie

    Aucune méthode n’est parfaite, mais une méthode disponible et activée protège mieux qu’une option idéale laissée désactivée. Pour la messagerie, la banque et le gestionnaire de mots de passe, choisissez la méthode la plus résistante proposée.

    Exemple original

    Un faux site copie la page d’une boutique et vole le mot de passe d’Inès. Avec un code SMS, il peut tenter de lui faire saisir le code. Avec une passkey liée au vrai domaine, le navigateur ne produit pas la preuve cryptographique pour le domaine imitateur.

    Avant d’activer la 2FA

    1. Mettez à jour les coordonnées de récupération.
    2. Enregistrez au moins deux méthodes si le service le permet.
    3. Conservez les codes de récupération hors du téléphone principal.
    4. Ne validez jamais une demande que vous n’avez pas initiée.
    5. Gardez un mot de passe unique : la 2FA ne justifie pas sa réutilisation.

    Guides associés

    Sources officielles consultées

    La 2FA complète un mot de passe unique.

    Créez d’abord une combinaison longue et aléatoire.

    Générer un mot de passe
  • Qu’est-ce qu’un gestionnaire de mots de passe ?

    Un coffre pour vos comptes

    Qu’est-ce qu’un gestionnaire de mots de passe ?

    Il crée, conserve et remplit vos identifiants afin que chaque compte puisse avoir un secret réellement unique.

    Réponse immédiate : un gestionnaire de mots de passe est un coffre chiffré qui enregistre des identifiants uniques, les génère et les remplit pour vous. Vous ne mémorisez plus tous vos mots de passe : vous protégez principalement le mot de passe maître et les moyens de récupération du coffre.

    Coffre chiffré contenant des mots de passe uniques pour plusieurs comptes
    Illustration prévue : un coffre central facilite surtout l’unicité des identifiants.

    Comment fonctionne-t-il ?

    Le coffre conserve vos entrées sous une forme chiffrée. Selon l’outil, il reste uniquement sur un appareil ou se synchronise entre plusieurs appareils. Au moment de la connexion, l’application reconnaît le site et propose l’identifiant correspondant. Cette association au domaine aide aussi à éviter de remplir un mot de passe sur une imitation grossière.

    Exemple original

    Pour boutique-exemple.fr, le coffre enregistre un secret de 24 caractères. Sur boutique-exemp1e.fr, il ne propose rien : ce silence invite Camille à vérifier l’adresse avant de saisir quoi que ce soit.

    Pourquoi est-il nécessaire ?

    • Il rend praticable la règle un mot de passe unique par compte.
    • Il génère des secrets longs sans modèle humain prévisible.
    • Il réduit les erreurs de saisie et la tentation de raccourcir les mots de passe.
    • Il permet de retrouver les comptes oubliés et de remplacer les anciens doublons.
    • Certains outils signalent les mots de passe réutilisés ou exposés.

    Comment choisir un gestionnaire ?

    Chiffrement documenté

    L’éditeur explique ce qui est chiffré et où se trouvent les clés.

    Mises à jour suivies

    Le produit et ses extensions reçoivent des correctifs réguliers.

    Export et sauvegarde

    Vous pouvez récupérer vos données dans un format exploitable.

    Protection multifacteur

    Le compte de synchronisation accepte une méthode forte.

    Les gestionnaires intégrés aux navigateurs et systèmes peuvent suffire pour de nombreux particuliers. Un outil dédié peut offrir davantage de partage familial, d’audit, de portabilité ou de contrôle. Le bon choix est celui que vous utiliserez effectivement sur tous vos appareils.

    Bien démarrer

    1. Créez une phrase maîtresse longue et aléatoire, jamais utilisée ailleurs.
    2. Activez la double authentification du compte de synchronisation.
    3. Conservez ses codes de récupération hors du coffre si celui-ci est le seul moyen d’y accéder.
    4. Importez vos identifiants, puis supprimez le fichier d’import non chiffré.
    5. Commencez par remplacer les mots de passe de la messagerie et des comptes sensibles.
    6. Testez la restauration avant d’avoir réellement besoin de récupérer le coffre.
    Un coffre central n’annule pas tous les risques

    Protégez les appareils, installez les mises à jour et refusez toute demande inattendue de mot de passe maître. Un gestionnaire améliore fortement l’hygiène des mots de passe, mais ne remplace pas l’authentification multifacteur.

    Guides associés

    Sources officielles consultées

    Alimentez votre coffre avec un secret vraiment unique.

    Générez-le localement, puis enregistrez-le immédiatement.

    Créer un mot de passe
  • Pourquoi ne faut-il jamais réutiliser un mot de passe ?

    Un compte, un secret

    Pourquoi ne faut-il jamais réutiliser un mot de passe ?

    Une fuite sur un service peu important peut ouvrir votre messagerie, vos achats ou vos réseaux sociaux.

    Réponse immédiate : lorsqu’un mot de passe réutilisé fuit, des attaquants peuvent le tester automatiquement avec votre adresse e-mail sur de nombreux autres sites. Un seul incident devient alors une compromission en chaîne. La protection efficace consiste à utiliser un mot de passe unique par compte.

    Une clé réutilisée ouvrant plusieurs comptes après une fuite de données
    Illustration prévue : une même clé transforme plusieurs comptes indépendants en une seule surface d’attaque.

    Comment l’attaque se déroule

    Un service est compromis

    Une base contenant des adresses et des empreintes de mots de passe est volée.

    Les secrets faibles sont retrouvés

    Les attaquants exploitent dictionnaires, variantes connues ou protections de stockage insuffisantes.

    Les identifiants sont testés ailleurs

    Des logiciels essaient automatiquement les mêmes couples e-mail/mot de passe sur d’autres services.

    Les comptes rentables sont exploités

    Messagerie, achats, réseaux sociaux et comptes professionnels peuvent être détournés.

    Cette méthode est appelée bourrage d’identifiants ou credential stuffing. La robustesse initiale du mot de passe ne corrige pas le problème : s’il est connu, sa longueur n’a plus d’importance.

    Les petites variantes ne suffisent pas

    Exemple original

    Mistral!Boutique, Mistral!Banque et Mistral!Mail semblent différents, mais révèlent le même modèle. Après une fuite, les suffixes deviennent faciles à deviner. Il faut générer trois secrets sans structure commune.

    Ajouter le nom du site, changer l’année ou incrémenter un chiffre reste une forme de réutilisation. Les règles d’attaque intègrent précisément ces transformations humaines courantes.

    Comment sortir de la réutilisation

    1. Installez ou choisissez un gestionnaire de mots de passe.
    2. Commencez par la messagerie, la banque, l’administration et les comptes professionnels.
    3. Pour chaque compte, générez un secret différent de 20 caractères avec le générateur Passefort.
    4. Activez l’authentification à deux facteurs.
    5. Remplacez ensuite les doublons au fil de vos connexions.
    Vous venez d’apprendre qu’un ancien mot de passe a fuité ?

    Ne modifiez pas seulement le site concerné. Suivez la procédure mot de passe compromis et changez toutes ses réutilisations et variantes.

    Guides associés

    Sources officielles consultées

    Remplacez aujourd’hui un mot de passe réutilisé.

    Une nouvelle combinaison unique se crée en quelques secondes.

    Générer un secret unique
  • Comment protéger son adresse e-mail ?

    Sécuriser sa messagerie

    Comment protéger son adresse e-mail ?

    Votre messagerie permet souvent de réinitialiser tous vos autres comptes : elle mérite une protection prioritaire.

    Réponse immédiate : protégez votre messagerie avec un mot de passe long et unique, une authentification à deux facteurs et des moyens de récupération à jour. Réservez l’adresse principale aux comptes importants et utilisez une adresse secondaire ou des alias pour les inscriptions moins fiables.

    Boîte e-mail protégée par un mot de passe unique, une double authentification et des alias
    Illustration prévue : protéger l’accès et limiter l’exposition de l’adresse sont deux actions complémentaires.

    Les six protections prioritaires

    1. Créez un mot de passe que vous n’utilisez nulle part ailleurs avec le générateur.
    2. Activez l’authentification à deux facteurs, de préférence avec une passkey, une clé de sécurité ou une application.
    3. Vérifiez l’adresse et le numéro de récupération ; supprimez tout moyen inconnu.
    4. Conservez les codes de récupération hors de la boîte elle-même.
    5. Contrôlez les sessions ouvertes, les applications connectées et les règles de transfert.
    6. Mettez à jour le téléphone et l’ordinateur utilisés pour consulter les messages.

    Réduire l’exposition de l’adresse

    Votre adresse de connexion n’est pas un secret équivalent à un mot de passe, mais moins elle circule, moins elle reçoit de spam ciblé et de tentatives d’hameçonnage. Gardez une adresse stable pour la banque, l’administration et les soins ; utilisez une seconde adresse ou un masque pour les newsletters, essais et commerces secondaires.

    Exemple original

    Nora conserve prenom.nom@… pour ses comptes essentiels. Pour une application de recettes, elle crée un masque unique. Si cette adresse reçoit ensuite du spam, elle sait quel service l’a exposée et peut désactiver le masque sans toucher à sa boîte principale.

    Un masque transfère les messages vers votre vraie boîte sans révéler son adresse. Il ajoute toutefois un intermédiaire : ne l’utilisez pas pour un service critique si vous ne maîtrisez pas sa procédure de récupération.

    Se défendre contre les messages piégés

    • Ne vous reconnectez pas depuis un lien reçu : ouvrez votre favori ou saisissez l’adresse officielle.
    • Ne communiquez jamais un mot de passe, un code temporaire ou un code de récupération par e-mail.
    • Vérifiez le domaine complet, pas seulement le nom affiché ou le logo.
    • Confirmez toute demande urgente ou financière par un autre canal.
    • Consultez le guide pour reconnaître un e-mail de phishing.

    Si vous remarquez une activité inconnue

    Depuis un appareil fiable, changez le mot de passe, déconnectez les sessions inconnues, révoquez les applications suspectes et examinez les règles de transfert. Si le même mot de passe a servi ailleurs, remplacez-le partout. Suivez ensuite la procédure complète mot de passe compromis.

    Guides associés

    Sources officielles consultées

    Sécurisez d’abord le mot de passe de votre messagerie.

    Créez une combinaison unique sans la transmettre au site.

    Ouvrir le générateur
  • Comment créer un mot de passe Wi-Fi sécurisé ?

    Sécurité du réseau domestique

    Comment créer un mot de passe Wi-Fi sécurisé ?

    Un bon secret Wi-Fi protège l’accès au réseau, mais il doit être accompagné d’un chiffrement récent et d’une box à jour.

    Réponse immédiate : générez un mot de passe Wi-Fi unique d’au moins 20 caractères, activez WPA3-Personal ou, pour les appareils plus anciens, WPA2/WPA3. Évitez WEP, WPA, TKIP, les informations personnelles et le mot de passe inscrit par défaut sur la box.

    Box internet protégée par WPA3 avec un mot de passe Wi-Fi long
    Illustration prévue : mot de passe long, WPA3 et mises à jour forment un ensemble.

    La configuration recommandée

    Un secret long

    20 à 32 caractères aléatoires offrent une marge confortable.

    WPA3 si possible

    Sinon, utilisez WPA2/WPA3 transitionnel ou WPA2-Personal avec AES.

    Une box à jour

    Activez les mises à jour automatiques du micrologiciel.

    Un réseau invité

    Séparez les visiteurs et, si possible, les objets connectés.

    Créer le mot de passe

    1. Ouvrez le générateur Passefort.
    2. Choisissez entre 20 et 32 caractères. Si votre box refuse certains symboles, désactivez-les plutôt que de raccourcir le secret.
    3. Copiez le résultat dans l’interface officielle de votre box.
    4. Enregistrez-le dans un gestionnaire et, si nécessaire, sur une fiche conservée chez vous.
    5. Reconnectez vos appareils un par un et supprimez les appareils inconnus.
    Exemple original

    Fjord7!Velours2#Orbite9 illustre le type de secret attendu, mais ne l’utilisez pas puisqu’il est publié. Évitez WifiMaison77420, qui révèle un usage et un code postal.

    Les réglages à vérifier dans la box

    • Choisissez WPA3-Personal, ou WPA2/WPA3 si un appareil ancien ne se connecte pas.
    • Évitez WEP, WPA, WPA/WPA2 mixte et TKIP, désormais faibles ou obsolètes.
    • Changez aussi le mot de passe d’administration de la box : il doit être différent de celui du Wi-Fi.
    • Ne masquez pas le nom du réseau dans l’espoir de le sécuriser : un SSID caché ne remplace pas le chiffrement.
    • Désactivez WPS par bouton ou code PIN si vous ne l’utilisez pas.
    • Vérifiez les mises à jour et redémarrez la box après les changements.

    Partager sans perdre le contrôle

    Pour des invités, préférez le réseau invité. Vous pourrez en changer le secret sans reconnecter les appareils personnels. Pour un logement loué, créez un secret dédié et remplacez-le à chaque période pertinente plutôt que de communiquer celui de votre réseau principal.

    Changer le mot de passe n’est pas une opération périodique obligatoire

    Faites-le si le secret a été diffusé au-delà des personnes prévues, si un appareil inconnu apparaît, après une compromission ou lorsque vous récupérez une box déjà configurée.

    Guides associés

    Sources officielles consultées

    Générez un secret Wi-Fi long et unique.

    Aucune donnée ne quitte votre navigateur.

    Créer le mot de passe