Passefort Créer un mot de passe

Catégorie : Comptes et authentification

  • Où et comment conserver ses codes de récupération ?

    Préparer la perte d’un appareil

    Où et comment conserver ses codes de récupération ?

    Ces codes peuvent rouvrir un compte sans le téléphone : protégez-les comme des clés de secours.

    Réponse immédiate : conservez les codes de récupération dans deux emplacements sûrs et indépendants : par exemple une copie imprimée dans un coffre ou avec vos documents importants, et une copie chiffrée dans un gestionnaire. Pour récupérer ce gestionnaire lui-même, gardez impérativement une copie en dehors du coffre et de l’appareil principal.

    Codes de récupération conservés sur papier dans un coffre et dans une sauvegarde chiffrée
    Illustration prévue : les copies sont séparées afin qu’une panne, un vol ou un incendie ne les détruise pas toutes.

    Pourquoi ces codes sont-ils sensibles ?

    Un code de récupération permet généralement de contourner l’indisponibilité du facteur habituel. Selon le service, il est à usage unique ou remplacé par un nouveau jeu. Toute personne qui le possède peut parfois accéder au compte : ne l’envoyez jamais par messagerie et ne le communiquez pas à un support qui vous contacte.

    Les solutions recommandées

    EmplacementBon usagePoint de vigilance
    Copie impriméeCoffre, armoire fermée ou documents importantsProtéger du vol, de l’humidité et du feu
    Gestionnaire de mots de passeCodes des comptes ordinairesNe pas en faire l’unique copie pour récupérer le coffre
    Support chiffré hors ligneSauvegarde secondaireTester le déchiffrement et documenter la procédure
    Personne de confiancePlan familial ou succession numériqueUtiliser une enveloppe scellée et des instructions claires

    Ce qu’il vaut mieux éviter

    • Une capture d’écran laissée dans la galerie synchronisée.
    • Un fichier texte sur le bureau nommé codes-secours.txt.
    • Un e-mail envoyé à soi-même sans chiffrement.
    • La seule copie enregistrée sur le téléphone servant de second facteur.
    • La seule copie stockée dans le gestionnaire qu’elle doit permettre de récupérer.
    • Une impression laissée près de l’ordinateur dans un espace partagé.
    Exemple original

    Maël perd son téléphone pendant un voyage. Un code Google est dans son gestionnaire accessible depuis l’ordinateur : il récupère sa messagerie. Le code de secours du gestionnaire, lui, est imprimé dans un coffre chez lui et confié sous enveloppe à une personne désignée.

    Créer une petite procédure de secours

    1. Générez les codes depuis les paramètres officiels du compte.
    2. Notez le service et la date, mais jamais le mot de passe à côté de la copie papier.
    3. Créez deux copies adaptées au niveau de sensibilité.
    4. Testez si le service permet de vérifier un code sans invalider toute la procédure.
    5. Marquez immédiatement les codes déjà utilisés.
    6. Si une copie est perdue ou photographiée, régénérez le jeu : les anciens codes deviennent généralement invalides.
    7. Révisez la procédure après un changement de téléphone, de gestionnaire ou de passkey.
    Le NIST distingue les codes sauvegardés et les codes envoyés

    Un code sauvegardé à l’avance est destiné à être maintenu hors ligne de façon sûre. Un code reçu par SMS ou e-mail lors de la récupération dépend, lui, de la sécurité du canal de récupération.

    Guides associés

    Sources officielles consultées

    Préparez la récupération avant de perdre un appareil.

    La meilleure procédure est celle que vous avez déjà testée.

    Revoir les méthodes 2FA
  • Passkeys : vont-elles remplacer les mots de passe ?

    L’authentification sans secret partagé

    Passkeys : vont-elles remplacer les mots de passe ?

    Elles suppriment déjà le mot de passe sur certains services, mais la transition et la récupération demandent encore de la prudence.

    Réponse immédiate : les passkeys remplaceront probablement de nombreux mots de passe, mais pas tous immédiatement. Elles offrent une connexion plus résistante au phishing grâce à une paire de clés cryptographiques liée au domaine. Tant que les services, appareils et procédures de récupération ne les prennent pas tous en charge, mots de passe et passkeys vont coexister.

    Passkey utilisant une clé privée sur l’appareil et une clé publique sur le service
    Illustration prévue : la clé privée ne quitte pas l’appareil ou le fournisseur qui la synchronise.

    Comment fonctionne une passkey ?

    Lors de l’inscription, l’authentificateur crée une paire de clés. Le service reçoit la clé publique ; la clé privée reste protégée sur votre appareil, une clé physique ou un système de synchronisation. À la connexion, le service envoie un défi. Votre authentificateur le signe après votre consentement, souvent confirmé par le code, l’empreinte ou le visage de l’appareil.

    Exemple original

    Zoé ouvre une imitation de agenda-exemple.fr sur agenda-exemp1e.fr. Sa passkey du premier domaine n’est pas proposée au second : la preuve est liée à l’identité du site, contrairement à un mot de passe que l’on peut recopier partout.

    Ce que les passkeys améliorent

    • Aucun mot de passe partagé à voler dans un formulaire ou à réutiliser.
    • Une clé différente est créée pour chaque service.
    • La liaison au domaine résiste aux faux sites courants.
    • La cryptographie produit des identifiants robustes sans effort de mémorisation.
    • La validation locale peut être plus rapide qu’un mot de passe suivi d’un code.

    Pourquoi les mots de passe ne disparaissent-ils pas encore ?

    Compatibilité

    Tous les services et anciens appareils n’acceptent pas WebAuthn.

    Écosystème

    La synchronisation entre fournisseurs reste un choix à comprendre.

    Récupération

    Une procédure faible peut devenir le nouveau point d’entrée.

    Transition

    Certains comptes conservent un mot de passe de secours actif.

    Si un mot de passe reste associé au compte, sécurisez-le toujours avec un gestionnaire. Ajouter une passkey sans retirer un ancien secret faible ne supprime pas cette voie d’accès.

    Comment les adopter sans se bloquer

    1. Commencez par les comptes importants proposant clairement les passkeys.
    2. Ajoutez une seconde passkey sur un autre appareil ou une clé de sécurité si le service l’autorise.
    3. Vérifiez la synchronisation et la procédure de récupération avant de supprimer le mot de passe.
    4. Protégez le compte qui synchronise vos passkeys avec une authentification forte.
    5. Conservez les codes de récupération dans un lieu indépendant.
    6. Continuez à vérifier les messages de phishing : la passkey protège la connexion, pas toutes les manipulations.

    Guides associés

    Sources primaires consultées

    Un service utilise encore un mot de passe ?

    Créez-en un unique en attendant sa prise en charge des passkeys.

    Générer un mot de passe
  • Mot de passe compromis : que faire immédiatement ?

    Agir sans attendre

    Mot de passe compromis : que faire immédiatement ?

    L’ordre des actions compte : reprenez le contrôle, fermez les accès persistants et protégez les autres comptes.

    Réponse immédiate : depuis un appareil fiable, changez le mot de passe, déconnectez les sessions inconnues, vérifiez les coordonnées de récupération et activez la 2FA. Si le secret a été réutilisé, remplacez-le sans délai sur chaque compte concerné, en commençant par la messagerie.

    Liste d’actions urgentes après la compromission d’un mot de passe
    Illustration prévue : reprendre le compte ne suffit pas si des sessions ou des règles frauduleuses subsistent.

    Les actions dans le bon ordre

    1. Utilisez un appareil de confiance. Si vous soupçonnez un logiciel malveillant, mettez le système à jour et lancez l’analyse de sécurité appropriée avant de saisir un nouveau secret.
    2. Récupérez l’accès. Passez par l’application ou l’adresse officielle du service, jamais par le lien du message d’alerte.
    3. Créez un nouveau mot de passe unique. Utilisez 20 caractères ou plus avec le générateur.
    4. Déconnectez les autres sessions. Supprimez les appareils, clés d’application et connexions que vous ne reconnaissez pas.
    5. Contrôlez la récupération. Vérifiez téléphone, adresse secondaire, passkeys et questions de secours.
    6. Activez ou réinitialisez la 2FA. Générez de nouveaux codes de récupération.
    7. Inspectez le compte. Recherchez commandes, messages, publications et modifications inconnues.

    Cas particulier de la messagerie

    Une boîte e-mail compromise peut réinitialiser d’autres comptes tout en dissimulant les alertes. Vérifiez les règles de transfert, filtres, réponses automatiques, délégations, applications tierces et messages supprimés. Prévenez vos contacts si l’attaquant a pu envoyer des messages en votre nom.

    Exemple original

    Après avoir changé son mot de passe, Sami continue de perdre des messages. Il découvre une règle qui transfère toute facture contenant « IBAN » vers une adresse inconnue puis l’archive. Supprimer cette règle est aussi important que remplacer le secret.

    Si le mot de passe était réutilisé

    Dressez la liste de toutes ses copies et variantes. Commencez par la messagerie, le gestionnaire, les comptes financiers, administratifs et professionnels. N’utilisez pas un modèle commun : apprenez pourquoi chaque compte doit avoir son propre secret.

    Conserver les preuves et signaler

    Avant de supprimer les éléments suspects, prenez des captures indiquant dates, appareils, adresses et opérations. Contactez la banque sans attendre en cas de paiement ou de changement de coordonnées. Signalez le piratage au service concerné et utilisez le diagnostic de Cybermalveillance.gouv.fr. Selon le préjudice, conservez les éléments pour un dépôt de plainte.

    Ne payez pas un prétendu support

    Un escroc peut vous contacter après l’incident et demander un code ou une prise en main de l’appareil. Passez toujours par le canal officiel du service.

    Guides associés

    Sources officielles consultées

    Remplacez le secret compromis par un mot de passe unique.

    Le nouveau tirage reste dans votre navigateur.

    Générer maintenant
  • Comment fonctionne l’authentification à deux facteurs ?

    Une seconde preuve d’identité

    Comment fonctionne l’authentification à deux facteurs ?

    La 2FA ajoute une preuve différente au mot de passe et réduit l’impact de son vol.

    Réponse immédiate : l’authentification à deux facteurs, ou 2FA, demande deux preuves de catégories différentes : par exemple un mot de passe que vous connaissez et une clé de sécurité que vous possédez. Si le mot de passe est volé, l’attaquant doit encore obtenir le second facteur.

    Connexion protégée par un mot de passe puis une clé de sécurité comme second facteur
    Illustration prévue : deux facteurs indépendants valent mieux que deux secrets de même nature.

    Les différentes catégories

    Ce que vous savez

    Mot de passe, phrase de passe ou code PIN.

    Ce que vous possédez

    Téléphone, application d’authentification, passkey ou clé physique.

    Ce que vous êtes

    Empreinte ou visage, généralement vérifié localement par l’appareil.

    Deux facteurs distincts

    Deux mots de passe ne constituent pas une véritable 2FA.

    Ce qui se passe lors de la connexion

    Vous saisissez le premier facteur

    Le service vérifie votre mot de passe ou votre phrase de passe.

    Il demande une seconde preuve

    Vous approuvez sur un appareil, saisissez un code temporaire ou touchez une clé.

    La preuve est vérifiée

    Le serveur contrôle qu’elle correspond à l’enregistrement associé au compte.

    La session est ouverte

    Le service peut mémoriser temporairement l’appareil selon sa politique de risque.

    Quelle méthode choisir ?

    MéthodeNiveau pratiqueLimite principale
    Passkey ou clé de sécurité FIDOÀ privilégierCompatibilité et récupération à préparer
    Application de codes temporairesBon choix courantUn faux site peut demander le code en temps réel
    Notification d’approbationBonne si elle affiche le contexteRisque d’approuver machinalement
    SMSMieux que rienInterception et détournement de numéro possibles
    Code reçu par e-mailProtection limitéeDépend de la sécurité de la messagerie

    Aucune méthode n’est parfaite, mais une méthode disponible et activée protège mieux qu’une option idéale laissée désactivée. Pour la messagerie, la banque et le gestionnaire de mots de passe, choisissez la méthode la plus résistante proposée.

    Exemple original

    Un faux site copie la page d’une boutique et vole le mot de passe d’Inès. Avec un code SMS, il peut tenter de lui faire saisir le code. Avec une passkey liée au vrai domaine, le navigateur ne produit pas la preuve cryptographique pour le domaine imitateur.

    Avant d’activer la 2FA

    1. Mettez à jour les coordonnées de récupération.
    2. Enregistrez au moins deux méthodes si le service le permet.
    3. Conservez les codes de récupération hors du téléphone principal.
    4. Ne validez jamais une demande que vous n’avez pas initiée.
    5. Gardez un mot de passe unique : la 2FA ne justifie pas sa réutilisation.

    Guides associés

    Sources officielles consultées

    La 2FA complète un mot de passe unique.

    Créez d’abord une combinaison longue et aléatoire.

    Générer un mot de passe
  • Comment protéger son adresse e-mail ?

    Sécuriser sa messagerie

    Comment protéger son adresse e-mail ?

    Votre messagerie permet souvent de réinitialiser tous vos autres comptes : elle mérite une protection prioritaire.

    Réponse immédiate : protégez votre messagerie avec un mot de passe long et unique, une authentification à deux facteurs et des moyens de récupération à jour. Réservez l’adresse principale aux comptes importants et utilisez une adresse secondaire ou des alias pour les inscriptions moins fiables.

    Boîte e-mail protégée par un mot de passe unique, une double authentification et des alias
    Illustration prévue : protéger l’accès et limiter l’exposition de l’adresse sont deux actions complémentaires.

    Les six protections prioritaires

    1. Créez un mot de passe que vous n’utilisez nulle part ailleurs avec le générateur.
    2. Activez l’authentification à deux facteurs, de préférence avec une passkey, une clé de sécurité ou une application.
    3. Vérifiez l’adresse et le numéro de récupération ; supprimez tout moyen inconnu.
    4. Conservez les codes de récupération hors de la boîte elle-même.
    5. Contrôlez les sessions ouvertes, les applications connectées et les règles de transfert.
    6. Mettez à jour le téléphone et l’ordinateur utilisés pour consulter les messages.

    Réduire l’exposition de l’adresse

    Votre adresse de connexion n’est pas un secret équivalent à un mot de passe, mais moins elle circule, moins elle reçoit de spam ciblé et de tentatives d’hameçonnage. Gardez une adresse stable pour la banque, l’administration et les soins ; utilisez une seconde adresse ou un masque pour les newsletters, essais et commerces secondaires.

    Exemple original

    Nora conserve prenom.nom@… pour ses comptes essentiels. Pour une application de recettes, elle crée un masque unique. Si cette adresse reçoit ensuite du spam, elle sait quel service l’a exposée et peut désactiver le masque sans toucher à sa boîte principale.

    Un masque transfère les messages vers votre vraie boîte sans révéler son adresse. Il ajoute toutefois un intermédiaire : ne l’utilisez pas pour un service critique si vous ne maîtrisez pas sa procédure de récupération.

    Se défendre contre les messages piégés

    • Ne vous reconnectez pas depuis un lien reçu : ouvrez votre favori ou saisissez l’adresse officielle.
    • Ne communiquez jamais un mot de passe, un code temporaire ou un code de récupération par e-mail.
    • Vérifiez le domaine complet, pas seulement le nom affiché ou le logo.
    • Confirmez toute demande urgente ou financière par un autre canal.
    • Consultez le guide pour reconnaître un e-mail de phishing.

    Si vous remarquez une activité inconnue

    Depuis un appareil fiable, changez le mot de passe, déconnectez les sessions inconnues, révoquez les applications suspectes et examinez les règles de transfert. Si le même mot de passe a servi ailleurs, remplacez-le partout. Suivez ensuite la procédure complète mot de passe compromis.

    Guides associés

    Sources officielles consultées

    Sécurisez d’abord le mot de passe de votre messagerie.

    Créez une combinaison unique sans la transmettre au site.

    Ouvrir le générateur