Pour construire des mots de passe forts pouvant être retenus, la CNIL a mis au point un outil très intéressant et facile à prendre en main.
Le problème ce n’est pas de générer un mot de passe fort et de s’en rappeler. C’est à la portée de n’importe qui. Le problème c’est qu’aujourd’hui il faut un mot de passe fort par service, que dans l’idéal il doit être différent pour chaque service. On arrive très vite à plusieurs dizaine, voir une centaine de mot de passe à générer et donc autant de phrase à se rappeler ET à ne pas mélanger… C’est ça la vrai difficulté. Pas de choisir une passphrase pour générer UN mot de passe fort.
13 « J'aime »
Tu peux rajouter le nom du site (ou ses initiales) dans le mot de passe, ça permet de le personnaliser et de s’en souvenir plus facilement.
Enfin perso, j’ai un gestionnaire (1Password) je trouve ça quand même bien plus pratique 
2 « J'aime »
Tu peux toujours inclure le nom du service dans le mdp: Par exemple, si c’est Clubic et que ton mdp est azertyuiop tu prends azertyuiopClubic.
2 « J'aime »
SInon il y a keepassxc…
8 « J'aime »
Clairement le gestionnaire est la meilleure solution pour ne pas avoir à se rappeler de 100 passphrases différentes. Mais du coup la technique de génération de la CNIL est totalement obsolète puisque que le gestionnaire peux aussi générer des mots de passe qui pour le coup seront vraiment plus fort…
2 « J'aime »
Je change mon mot de passe chaque jour sur la plupart de mes comptes. L’astuce pour m’en souvenir ? Je met la date du jour !
Et j’ai changé aussi mes mot de passe faibles pour des mots de passe forts. Avant je mettais « MrBean », maintenant je met « Schwarzenegger » !
7 « J'aime »
Mauvaise idée. C’est facile de comprendre la logique et donc tenter sur les autres identifiants, sur le site de google ca sera azertyuiopGoogle ?
Les initiales ca obscurci un peu la logique mais avec deux mots de passe cassé, c’est facile à comprendre.
Il faut des mots de passe unique par site et si possible le changer régulièrement (et c’est très chiant).
Mais comme souvent faite ce que je dis pas ce que je fais.
3 « J'aime »
C’est tellement vrai ! 
Dans le cas d’un générateur créant le mot de passe à partir d’une phrase, on peut inclure le nom du site dans la phrase, ce qui fait que ça ne sera pas visible dans le mot de passe.
Et on peut même ajouter aussi l’identifiant, pour le cas où on aurait plusieurs comptes sur le même service.
Mais bon, le plus pratique ça reste quand même un bon gestionnaire de mots de passe, à part pour quelques trucs vraiment très sensibles (par exemple mes principaux comptes mail, je ne les stocke pas dans un gestionnaire).
1 « J'aime »
Oublier les mots de passe qu’ils soient fort ou pas l’IA est capable de les retrouver. L’avenir sera notre corps, comme l’expérimentation des veines de la paume de main.
2 « J'aime »
HeLLo, merci pour ces échanges, la gestion des mots de passe c’est vraiment l’enfer pour moi. Je n’ai pas trop confiance dans ces gestionnaires de mots de passe lol Bref… Merci en tout cas @@++
Ce n’est pas parfait, évidemment. Tu peux l’adapter en ne mettant que la premiere et derniere lettre, ou je ne sais quoi.
Et puis c’est toujours mieux que « AZERTY » ou « password » comme font les gens en général vu les stats … 
1 « J'aime »
C’est bien, cet outil permet de générer des mots de passe.
Donc sont loggés L’IP et le mot de passe proposé, c’est cool ^^
Ca doit faire une belle collection, il y a des amateurs pour ça .
Non, un mot de passe fort produit par un générateur résiste aussi bien à l’IA qu’à un brute force.
À la limite ici comme ça se base sur les premières lettres des mots d’une phrase , il peut y avoir quelques schémas statistiquement plus fréquents qu’avec un générateur purement aléatoire, mais ce n’est pas certain (on n’est pas obligé d’utiliser une phrase syntaxiquement correcte), et même une IA entraînée sur un large corpus de phrases en français ne pourra rien faire d’autre que du brute force sur tous les mots de passe correspondant à ces phrases (et multiplié par beaucoup pour tester toutes les façons d’y insérer des chiffres).
Et ça sera en fait sans doute pas efficace par rapport à un brute force basique, compte tenue de la puissance de calcul nécessaire pour faire tourner le modèle d’IA.
Le générateur est en JavaScript, il s’exécute localement sans échanger avec le serveur.
Le seul truc qui est loggé, c’est que ton IP a accédé à la page.
Et comme c’est la CNIL, on peut raisonnablement penser qu’il n’y a qu’un log technique du serveur, effacé à brève échéance.
4 « J'aime »
J’aime les clés physiques U2F / FIDO2 mais il n’y a pas assez de sites qui les acceptent (yahoo, google, manager OVH mais pas les banques). Il faut une clé de secours ou des mdp de passe de secours à usage unique, mais ce genre de clé démarre à une vingtaine d’euros.
C’est bien aussi pour sécuriser la partie admin d’un site Wordpress.
Chez Microsoft, malheureusement, ca ne sert qu’avec leur cloud ou un AD dans leur cloud, pas sur un compte Windows local.
3 « J'aime »
tout mot de passe mémorisable par un moyen mnémotechnique peut être découvert par social engineering
Mais bon pour forger un mot de passe principal de trousseau sécurisé en 2FA qui lui-même va générer les mots de passes aléatoires, dans ce cas ça marche oui 
effectivement, en désactivant JS il n y a rien d’afficher et sinon je n’ai pas de traces remontant au serveur lors du l’exécution du script.
En plus c’est écrit dans l’article, lu en diagonale.
ben finalement si puisqu’il suffit d’en retenir un pour avoir tous les autres dans son gestionnaire de mot de passe et pour les « plusieurs dizaines » il suffit d’utiliser un générateur de mot de passe aléatoire (ou pseudo puisque c’est un algorithme) cela permet d’avoir de mots de passe de plus de 20 caractères sans aucun besoin d’avoir plus de mémoire.