---
title: "Arrêtez de gérer vos mots de passe n’importe comment"
description: "Vous pensez bien gérer vos mots de passe ? Découvrez les erreurs courantes, les vrais risques et les bonnes pratiques pour sécuriser vos comptes."
url: "https://lonestone.io/blog/arretez-de-gerer-vos-mots-de-passe-nimporte-comment"
---

[Lonestone](/) ⟩ [Blog](/blog)

# Adoptez une gestion sécurisée de vos mots de passe

16 septembre 2022 · 8 min de lecture

Il m’arrive régulièrement qu’un membre de la famille m’appelle paniqué après avoir perdu un mot de passe ou s’être fait pirater un compte, ou qu’un nouveau collègue n’ait pas de très bonnes pratiques à ce sujet, j’ai donc écrit cet article pour expliquer les risque et les bonnes pratiques de base.

Vous avez quelques mots de passe différents ? Avec des chiffres et des symboles pour que ce soit super dur à trouver ? Vous avez bien quelques mots de passe simples ou utilisés à plusieurs endroits mais vous vous dîtes que ce n’est pas si grave et que vous verrez plus tard ?

Peut-être même que vous avez un système super malin pour définir de tête un mot de passe différent par service ? C’était mon cas pendant des années et je me suis rendu compte que j’étais loin d’être le seul. Très mauvaise idée. (voir la partie “Leaks” plus bas).

Prenez 30 min pour comprendre et mettre en place les bonnes pratiques, ça vous évitera de fâcheuses pertes capillaires plus tard.

## Quels sont les risques ?

Vos mots de passe peuvent être compromis de nombreuses manières et pour de nombreuses raisons. Outre les faits largement connus qu’il faut éviter de noter un mot de passe quelque part ou d’en choisir un trop simple, nous allons voir ici les principaux risque pour vos mots de passe.

### 📧 Boîte mail‍

Votre point de faiblesse principal sur internet est votre boîte mail, car :‍

*   C’est par mail qu’on peut récupérer le mot de passe de n’importe quel service sur lequel on est inscrit en utilisant la fonctionnalité “Mot de passe oublié”,
    
*   Elle contient bon nombre de vos communications depuis plusieurs années (conversations privées, liste de tous vos services, etc) ainsi que tous vos contacts,
    
*   Une fois qu’on y a accès, on peut se faire passer pour vous pour faire à peu près n’importe quoi.
    

Si on ne la protège pas correctement, des personnes mal intentionnées peuvent s’en servir pour vous nuire ou pour vous demander une rançon. On peut par exemple vous bloquer des services ou vous faire du chantage (diffusion de données confidentielles à tous vos contacts) si vous ne payez pas une rançon en Bitcoin.‍

### 💦 Leaks

De nombreux gros sites ont été piratés ces dernières années, ils y passent tous les uns après les autres : LinkedIn, Facebook, Adobe, Dropbox, etc. C’est au total plus de 11 milliards de comptes qui sont compromis dont on a connaissance, et probablement beaucoup plus.‍

**Par exemple :** LinkedIn s’est fait pirater sa base de données en 2016. Si vous vous connectez actuellement à votre boîte mail avec le même mot de passe que vous utilisiez en 2016 sur LinkedIn, il y a des chances pour que votre adresse email et votre mot de passe figurent dans une liste que des pirates peuvent utiliser pour se connecter à votre boîte mail.

Vous pouvez vérifier si votre adresse mail figure sur une des listes majeures sur : [https://haveibeenpwned.com/](https://haveibeenpwned.com/)‍

Attention, même si votre adresse n’y figure pas, cela ne veut pas nécessairement dire que vos identifiants sont en sécurité.

### 🎣 Phishing

Les sites de phishing sont des sites se faisant passer pour un autre dans le but de vous subtiliser des informations.

**Par exemple :** vous recevez un email de partage d’un document Google Drive. Vous cliquez sur le document dans l’email, cela vous emmène à une fausse page de connexion Google pour accéder au soi-disant Google Drive. Vous entrez vos identifiants, le site frauduleux les enregistre et vous redirige vers une autre page ou vous dit qu’ils sont incorrects.

Idem pour votre banque, la CAF, l’URSSAF, Ameli, etc.‍

### 🔨 Brute force

Si vous utilisez un mot de passe couramment utilisé, présent dans le dictionnaire ou trop court (moins de 10 caractères), il est souvent possible de trouver votre mot de passe en tentant de nombreuses combinaisons. Cette technique est appelée “brute force” .

## Comment sécuriser mes mots de passe ?

### ✨ Principes

De grands principes découlent des observations précédentes, il faut :

*   Choisir un mot de passe **long et complexe**
    
*   Utiliser un mot de passe **différent** sur chaque boîte mail et service
    
*   **Ne pas noter** ses mots de passe sur papier, dans un fichier numérique ou sur un service en ligne non spécialisé
    
*   Faire attention aux **pages de connexion frauduleuses**
    

> **“ Mais ça a l’air compliqué ! ”**

En fait non, il existe maintenant des outils et des méthodes permettant de simplifier tout cela et de vous protéger bien plus efficacement.

Je les utilise pour sécuriser tous mes identifiants, ceux de mon entreprise et de mes collaborateurs. Je recommande fortement d’en faire autant.

### 🗄 Gestionnaire de mot de passe

Certains services offrent un outil et un stockage en ligne pour :

*   **Générer** automatiquement un mot de passe complexe
    
*   **Enregistrer** les mots de passe de tous vos sites web et applications
    
*   Enregistrer des notes (code d’entrée de l’immeuble, journal intime, etc)
    
*   Utiliser un **mot de passe principal** pour accéder au tout
    
*   **Remplir automatiquement** les formulaires de connexion
    
*   **Auditer** la sécurité de l’ensemble de vos mots de passe
    

Le tout de manière **sécurisée**, sur votre ordinateur et **sur votre smartphone**

Toutes les données sont d’abord chiffrées sur votre ordinateur avec votre mot de passe principal, avant d’être envoyées sur le stockage en ligne. Le service de gestion de mots de passe utilisé ne peut donc pas accéder à vos mots de passe, il est d’ailleurs audité régulièrement pour sa sécurité.

Quelques solutions intéressantes du marché :

*   [**Bitwarden**](https://bitwarden.com/) **:** Open source, offre gratuite pour un compte individuel. Offres payantes très accessibles.
    
*   [**LastPass**](https://www.lastpass.com/) : Gratuit pour un seul appareil. Puis payant à partir de 2,90 €/mois. C’est le service que j’utilise. L’interface n’est pas incroyable mais ça marche bien !
    
*   [**Dashlane**](https://www.dashlane.com/) : Gratuit jusqu’à 50 mots de passe stockés. Puis payant à partir de 2,49 €/mois.
    
*   [**1Password**](https://1password.com/fr/) : Un des leaders du marché. Offre à 2,99$/mois pour un compte individuel.
    
*   [**KeePass**](https://keepass.info/) : Gratuit et open source, mais nécessite de sauvegarder vous-même la base de données chiffrée (sur Dropbox ou Google Drive par exemple).
    

Une autre solution semble très intéressante : [**Lesspass**](https://www.lesspass.com/), qui a l’avantage de ne rien stocker sur un serveur, d’être gratuite et open source. C’est une solution “stateless” qui génère un mot de passe en fonction d’une clé secrète et de critères propres au site utilisé.

### 🔑 Choix du mot de passe principal‍

Aussi appelé “master password” ou “mot de passe maître”, Le mot de passe principal doit être unique et particulièrement complexe.

Mais c’est le seul dont vous devez vous souvenir et vous ne devez pas le noter. Vous devez donc avoir une méthode particulièrement bonne pour qu’il soit inviolable et facile à mémoriser pour vous.

La méthode la plus efficace est de **choisir 4 ou 5 mots de manière aléatoire** et de les écrire tels quels séparés par des espaces.

Votre mot de passe peut être : “mets les asperges dans le babouin”

(en fait non, n’utilisez pas ce mot de passe puisqu’il est écrit ici 😋).

Cette BD illustre très bien l’idée :‍

![BD mot de passe](/.netlify/images?url=_astro%2Fimage-1.LVdie58d.png&w=740&h=601&dpl=69e9deed41371b000857cf89)

### 📱 Validation en deux étapes

Une méthode complémentaire particulièrement efficace est l’utilisation de la validation en deux étapes, appelée Two Factor Authentication (2FA) en anglais.

Il s’agit d’ajouter un code de validation à vos identifiants habituels, pouvant être obtenu sur votre mobile uniquement.

Vous avez probablement déjà du recopier un code SMS envoyé par votre banque pour valider un paiement sur internet. C’est l’idée.

Les grands acteurs d’internet proposent désormais tous des méthodes de validation en deux étapes utilisant soit les SMS soit une application mobile, la plus répandue étant Google Authenticator.

**Je vous recommande de l’activer sur tous vos comptes** lorsque c’est possible :

*   Google / Gmail : [https://myaccount.google.com/security](https://myaccount.google.com/security)
    
*   Facebook : [https://www.facebook.com/settings?tab=security](https://www.facebook.com/settings?tab=security)
    
*   Twitter : [https://twitter.com/settings/account](https://twitter.com/settings/account)
    
*   LinkedIn : [https://www.linkedin.com/psettings/](https://www.linkedin.com/psettings/)
    
*   les banques et exchanges (Coinbase, etc) que vous utilisez
    

De nombreux service proposent d’utiliser Google Authenticator comme méthode de validation en deux étapes. C’est particulièrement pratique et efficace.

Je recommande l’application **Authy** qui est compatible avec Google Authenticator et qui peut faire une sauvegarde sécurisée de toutes vos clés de validation (il vaut mieux éviter de les perdre !) sur ses serveurs.

Pour s’inscrire et l’installer, c’est gratuit : [https://authy.com/](https://authy.com/)‍

Et bien sûr pour stocker le mot de passe de votre compte Authy, utilisez votre gestionnaire de mots de passe (Dashlane ou Lastpass).

### 🏆 Ca y est, vous détenez maintenant les clés de la sécurité de vos comptes !‍

Pour résumer, appliquer ces trois solutions à l’unisson est pratique et vous protège :

*   Un gestionnaire de mots de passe
    
*   Un bon mot de passe principal
    
*   La validation en deux étapes
    

Il existe des méthodes complémentaires (hardware spécialisé par exemple) pour les besoins en sécurité plus avancés, mais déjà si vous appliquez bien ces 3 points, votre risque se rapproche de zéro 😉

![Arrêtez de gérer vos mots de passe n’importe comment](/.netlify/images?url=_astro%2Fthumbnail.BNOuZMDe.jpg&w=1920&h=1281&dpl=69e9deed41371b000857cf89)

Sommaire

[1 / Quels sont les risques ?](#quels-sont-les-risques-) [2 / Comment sécuriser mes mots de passe ?](#comment-sécuriser-mes-mots-de-passe-)

Sommaire 1 / Quels sont les risques ? 2 / Comment sécuriser mes mots de passe ?

Lonestone est une agence qui conçoit et développe des produits web et mobile innovants intégrant de l'IA.

Nos experts partagent leurs expériences sur le blog. Contactez-nous pour discuter de vos projets !

[En savoir plus sur Lonestone](/)

[Parler à un expert](/contact)

![](/_astro/use-case-corner.3qL77H9h.png)

Besoin d'accompagnement ?

Nos experts sont disponibles pour discuter de votre projet.

[Parler à un expert](/contact)

## On continue la lecture ?

[Tous les articles](/blog)

[![Pourquoi j’ai (re)adopté le style inline grâce à Stitches](/.netlify/images?url=_astro%2Fthumbnail.RWWUT00S.jpg&w=1920&h=1280&dpl=69e9deed41371b000857cf89)

Pourquoi j’ai (re)adopté le style inline grâce à Stitches

Entre CSS-in-JS, Atomic Design et composants utilitaires, Stitches m’a réconcilié avec le style inline. Retour d’expérience et réflexion sur les bonnes pratiques modernes.



](/blog/comment-stitches-ma-reconcilie-avec-le-style-inline)[![Review de la certification “Certified Bug Bounty Hunter” de HackTheBox](/.netlify/images?url=_astro%2Fthumbnail.95-23uUP.png&w=640&h=360&dpl=69e9deed41371b000857cf89)

Review de la certification “Certified Bug Bounty Hunter” de HackTheBox

Certified Bug Bounty Hunter de HackTheBox : mon retour complet sur la formation, l’examen, les vulnérabilités abordées et les conseils pour réussir.



](/blog/review-de-la-certification-certified-bug-bounty-hunter-de-hackthebox)[![Nhost, le Backend-as-a-Service open source qui nous a convaincus](/.netlify/images?url=_astro%2Fthumbnail.r3E5Cjl4.png&w=640&h=360&dpl=69e9deed41371b000857cf89)

Nhost, le Backend-as-a-Service open source qui nous a convaincus

Nhost, l'alternative open source à Firebase pour créer un backend complet avec GraphQL, auth, stockage et déploiement, sans se soucier de l'infra.



](/blog/nhost-le-backend-as-a-service-open-source-qui-nous-a-convaincus)

[Tous les articles](/blog)

## Nos guides

### Guide de l'IA générative

[

01\. IA, Machine Learning & Deep Learning



](/ai/deep-learning)[

02\. LLM (Large Language Model) : définition et fonctionnement



](/ai/llm)[

03\. RAG + MCP : Architecture pour agents IA



](/ai/rag-mcp)[

04\. Agents IA : définition et cas d'usage



](/ai/agents-ia)[

05\. Boostez vos logiciels avec l'intégration de l'IA



](/ai/integration-ia)[

06\. Meilleurs outils IA pour les entreprises



](/ai/outils-ia)

### Guide pour créer un SaaS IA

[

01\. Construire un SaaS IA rentable : la méthode qui fonctionne



](/creer-saas-ia/roadmap)[

02\. Comparatif LLM 2026 : quel modèle choisir pour votre SaaS ?



](/creer-saas-ia/comparatif-llm-saas)[

03\. Héberger un SaaS IA en France : performances, coûts et souveraineté



](/creer-saas-ia/heberger-ia)[

04\. Framework d’évaluation IA : pourquoi et comment le mettre en place



](/creer-saas-ia/evaluation)[

05\. MCP (Model Context Protocol) : le standard pour connecter IA et logiciels



](/creer-saas-ia/mcp)[

06\. Bien choisir entre RAG et ses alternatives : ce que personne ne vous explique vraiment



](/creer-saas-ia/rag)[

07\. Comment concevoir un copilote IA qui crée de la vraie valeur dans un SaaS



](/creer-saas-ia/copilote-ia)[

08\. POC IA : comment valider votre idée avant d’investir dans un SaaS IA



](/creer-saas-ia/poc)

### Blog de Lonestone

Retrouvez nos derniers articles sur le développement web, l'IA, le product design et les retours d'expérience de nos projets.

[Accéder au blog](/blog)

Lonestone apporte son expertise product à 200+ grands comptes, PME et startups depuis 11 ans.

Avec notre équipe senior et nos méthodes rodées, vous pouvez comptez sur une livraison rapide d'un produit robuste vraiment utile.

## Nos solutions

[

01\. Intégration IA pour éditeurs logiciels



](/solutions/integration-ia-editeurs)[

02\. Automatisation de process avec IA



](/solutions/automatisation-process-ia)[

03\. Création de SaaS pour startup



](/solutions/creation-saas)[

04\. Développement d'outils internes



](/solutions/developpement-outil-metier)[

05\. Création d'app mobile



](/solutions/creation-app-mobile)[

06\. Création de site web



](/solutions/creation-site-web)[

07\. Création de CRM sur mesure



](/solutions/crm-sur-mesure)

## On discute de votre projet ?

Échange gratuit et sans engagement, directement avec un expert du sujet. Devis sous 48h.

[Demander un devis](/contact) Prendre rdv

Contacter l'équipe  
de Lonestone