Dans un paysage numérique où 81 % des violations de données mondiales sont liées à une problématique de mots de passe compromis, la question de l’unicité des identifiants devient cruciale. Chaque jour, des millions d’utilisateurs exposent involontairement leurs données personnelles et professionnelles en réutilisant les mêmes combinaisons sur plusieurs plateformes. Cette pratique, apparemment anodine, transforme une simple faille de sécurité en cascade de compromissions potentielles. La réutilisation de mots de passe crée une vulnérabilité systémique qui permet aux cybercriminels d’exploiter une seule brèche pour accéder à l’ensemble de votre identité numérique. Comprendre les mécanismes techniques derrière cette vulnérabilité et les solutions cryptographiques disponibles devient essentiel pour protéger efficacement vos actifs numériques.
L’attaque par dictionnaire et la vulnérabilité du mot de passe réutilisé
Les attaques par dictionnaire constituent la première ligne d’offensive des cybercriminels contre les systèmes d’authentification. Ces attaques exploitent la tendance humaine à utiliser des mots de passe prévisibles et répétitifs, transformant cette faiblesse comportementale en opportunité d’intrusion massive. Le principe repose sur l’utilisation de bases de données contenant des millions de combinaisons couramment utilisées, alimentées par les violations précédentes et les analyses comportementales des utilisateurs.
La réutilisation de mots de passe amplifie exponentiellement l’efficacité de ces attaques. Lorsqu’un pirate obtient vos identifiants sur une plateforme vulnérable, il peut automatiquement tester ces mêmes informations sur des dizaines d’autres services. Cette technique, appelée credential stuffing, transforme une compromission locale en accès généralisé à votre écosystème numérique. Les statistiques révèlent que 65 % des utilisateurs réutilisent leurs mots de passe sur au moins trois plateformes différentes.
Mécanisme des attaques par force brute contre les hash MD5 et SHA-1
Les algorithmes de hachage obsolètes comme MD5 et SHA-1 présentent des vulnérabilités critiques face aux attaques par force brute modernes. Ces fonctions cryptographiques, conçues dans les années 1990, ne peuvent plus résister aux capacités computationnelles actuelles. Un hash MD5 peut être cassé en quelques heures avec du matériel standard, tandis que SHA-1 succombe face aux fermes de calcul spécialisées en quelques jours seulement.
Les cybercriminels exploitent ces faiblesses en combinant puissance de calcul distribuée et techniques d’optimisation algorithmique. Les cartes graphiques modernes, initialement conçues pour le rendu 3D, excellent dans les calculs parallèles nécessaires au cassage de hash. Une seule carte graphique haut de gamme peut tester plusieurs milliards de combinaisons par seconde, rendant obsolètes les mots de passe basés uniquement sur la complexité sans considération de l’unicité.
Exploitation des bases de données compromises : analyse du breach LinkedIn 2012
L’incident LinkedIn de 2012 illustre parfaitement les conséquences de la réutilisation de mots de passe à grande échelle. Cette violation a exposé 6,5 millions de hash de mots de passe, mais l’impact réel s’est étendu bien au-delà de cette plateforme professionnelle. Les pirates ont utilisé ces données comme dictionnaire
pour alimenter des campagnes massives de credential stuffing sur d’autres services : messageries, réseaux sociaux, voire accès bancaires. De nombreuses victimes n’avaient jamais utilisé LinkedIn pour des opérations sensibles, mais comme elles réutilisaient le même couple identifiant/mot de passe, les attaquants ont pu prendre le contrôle de comptes tiers sans effort supplémentaire. Cet épisode démontre qu’un mot de passe compromis sur un service « secondaire » peut devenir la porte d’entrée vers vos comptes les plus critiques si vous ne pratiquez pas l’unicité des mots de passe.
Autre point clé : les mots de passe LinkedIn n’étaient pas salés et reposaient sur un schéma de hachage faible. Une fois la base de données exfiltrée, les attaquants ont pu reconstituer en clair un grand nombre de mots de passe en quelques jours, puis enrichir leurs dictionnaires d’attaque pour les réutiliser ailleurs. Si vous aviez, à l’époque, un mot de passe unique pour LinkedIn, l’impact restait limité à ce seul compte. En revanche, ceux qui utilisaient la même combinaison sur leur messagerie principale ont exposé, sans le savoir, la quasi-totalité de leur identité numérique.
Credential stuffing automatisé via des botnets dédiés
Le credential stuffing est aujourd’hui entièrement industrialisé grâce à des botnets dédiés. Concrètement, un cybercriminel dispose de listes d’identifiants récupérées dans des violations de données (adresses e-mail + mots de passe), puis programme des milliers de machines compromises pour tester automatiquement ces combinaisons sur des centaines de sites web. Chaque machine du botnet se connecte à des services variés (Netflix, Gmail, banques en ligne, VPN…) en simulant un comportement humain pour éviter les blocages.
Du point de vue de l’attaquant, la réutilisation de mots de passe est un multiplicateur de rendement. Un même couple identifiant/mot de passe, s’il fonctionne sur plusieurs plateformes, permet d’ouvrir en quelques minutes une série de comptes sans devoir casser de nouveaux mots de passe. De votre côté, si vous utilisez des mots de passe uniques, chaque compte compromis devient une impasse : même si vos identifiants figurent dans une base volée, les tentatives automatisées échoueront partout ailleurs. C’est la différence entre une maison dont toutes les portes ont la même clé, et un immeuble où chaque appartement possède sa propre serrure.
Les plateformes tentent de se défendre en détectant les schémas d’accès anormaux (trop de connexions échouées, provenance géographique suspecte, signature technique du botnet…), mais le jeu du chat et de la souris reste permanent. L’un des seuls leviers qui reste totalement sous votre contrôle, en tant qu’utilisateur, est l’unicité stricte des mots de passe combinée à l’activation systématique de l’authentification multi-facteurs. Sans cela, vous laissez à ces armées de bots une chance réelle de franchir vos défenses.
Rainbow tables et précomputation des hash cryptographiques courants
Les rainbow tables sont une autre arme redoutable dans l’arsenal des attaquants, surtout lorsque les services utilisent des algorithmes de hachage faibles ou mal configurés. Une rainbow table est, en simplifiant, une gigantesque base de données pré-calculée qui associe un grand nombre de mots de passe possibles à leurs empreintes cryptographiques (hash). Plutôt que de calculer un hash pour chaque tentative, l’attaquant se contente de chercher dans cette table : si le hash de votre mot de passe s’y trouve, il obtient sa version en clair en une fraction de seconde.
Cela signifie que si votre mot de passe figure parmi les combinaisons les plus courantes (ou des variantes prévisibles), il est probable qu’il soit déjà inclus dans ces tables. Or, plus un mot de passe est réutilisé sur différents services, plus il a de chances d’avoir été récupéré au moins une fois et ajouté aux dictionnaires et rainbow tables partagés entre cybercriminels. À l’inverse, un mot de passe long, aléatoire et unique, surtout s’il est salé côté serveur, devient extrêmement coûteux à intégrer et à rechercher dans de telles tables, réduisant l’intérêt économique de l’attaquer.
En pratique, vous ne maîtrisez pas les choix techniques de chaque site (algorithmes de hachage, gestion des sels, itérations…), mais vous gardez la main sur vos habitudes : diversité, longueur et complexité des mots de passe. Même si un service persiste à utiliser des mécanismes de protection dépassés, la combinaison d’un mot de passe unique et d’une authentification forte réduit drastiquement la fenêtre d’exploitation possible en cas de fuite. Autrement dit, vous compensez les faiblesses de l’infrastructure par une hygiène numérique irréprochable.
Architecture technique des gestionnaires de mots de passe modernes
Face à la complexité croissante des menaces, les gestionnaires de mots de passe modernes sont devenus des briques de sécurité à part entière. Leur rôle dépasse largement le simple stockage : ils encapsulent des mécanismes cryptographiques avancés pour protéger vos identifiants sur vos appareils et durant leur synchronisation. Comprendre, même sommairement, cette architecture vous permet de mieux évaluer la confiance que vous pouvez leur accorder, et de voir en quoi ils transforment votre gestion des mots de passe uniques pour chaque site.
Ces outils reposent tous sur un principe clé : le chiffrement de bout en bout de votre « coffre-fort » (vault) à partir d’un mot de passe maître que vous seul connaissez. Les fournisseurs sérieux n’ont pas accès à vos secrets, car ils ne possèdent jamais la clé de déchiffrement. En pratique, cela se traduit par l’utilisation de standards éprouvés comme l’AES-256 pour le chiffrement des données, associés à des mécanismes de dérivation de clé (PBKDF2, Argon2, scrypt) qui rendent le cassage par force brute économiquement dissuasif.
Chiffrement AES-256 et dérivation de clé PBKDF2 dans 1password
1Password est souvent cité comme exemple d’implémentation robuste de gestionnaire de mots de passe. Techniquement, il chiffre votre coffre-fort à l’aide de l’algorithme AES-256, considéré comme un standard de l’industrie et approuvé par de nombreuses agences gouvernementales pour la protection de données sensibles. Les données (identifiants, notes sécurisées, cartes bancaires…) sont chiffrées localement sur votre appareil avant toute synchronisation dans le cloud, ce qui signifie que même en cas de compromission des serveurs de l’éditeur, un attaquant ne verrait qu’un bloc de données inexploitables.
La clé utilisée pour ce chiffrement n’est pas votre mot de passe maître en clair, mais une clé dérivée via PBKDF2 (Password-Based Key Derivation Function 2). Ce mécanisme applique des milliers voire des centaines de milliers d’itérations de fonctions de hachage, combinées à un sel unique, pour transformer votre mot de passe maître en une clé cryptographique résistante aux attaques par force brute. Concrètement, cela ralentit volontairement le processus de vérification d’un mot de passe, rendant économiquement impossible le test de milliards de combinaisons par seconde, comme dans les attaques classiques sur MD5 ou SHA-1.
Pour vous, utilisateur, cela se traduit par une expérience simple : vous ne mémorisez qu’un seul mot de passe robuste, et 1Password se charge de générer et d’appliquer des mots de passe uniques à chaque service. À chaque fois que vous cessez de réutiliser un mot de passe grâce à un gestionnaire, vous fermez une porte potentielle aux attaques par réutilisation d’identifiants. En d’autres termes, la couche cryptographique interne de l’outil vous permet de gérer sans effort la complexité et la diversité que vous ne pourriez pas assurer seul.
Zero-knowledge architecture de bitwarden et stockage vault chiffré
Bitwarden adopte une approche dite zero-knowledge, c’est-à-dire qu’aucune connaissance exploitable de vos secrets n’est disponible côté serveur. Votre coffre-fort est chiffré en local sur vos appareils avec AES-256, exactement comme chez d’autres acteurs sérieux, mais surtout, la clé dérivée de votre mot de passe maître ne quitte jamais votre terminal. Les serveurs de Bitwarden ne voient que des données déjà chiffrées et ne disposent pas des éléments nécessaires pour les déchiffrer.
La dérivation de clé repose également sur PBKDF2 (et désormais sur Argon2id pour certains scénarios), avec un nombre d’itérations configurable, ce qui permet d’ajuster la résistance aux attaques en fonction de la puissance de calcul disponible. Cette architecture zero-knowledge signifie qu’en cas de violation des serveurs Bitwarden, un attaquant se retrouverait face à un vault chiffré par une clé qu’il ne peut pas reconstituer sans casser votre mot de passe maître, ce qui reste extrêmement difficile si vous respectez les bonnes pratiques (longueur, complexité, absence de réutilisation).
Pour aller plus loin dans la sécurité, Bitwarden propose des coffres partagés chiffrés pour les équipes, où chaque utilisateur dispose de ses propres clés, et des accès sont délégués sans jamais exposer les mots de passe en clair. Là encore, l’objectif est de vous permettre d’appliquer une politique stricte de mots de passe uniques pour chaque site, y compris dans un contexte professionnel collaboratif, tout en réduisant la friction d’usage grâce au remplissage automatique et à la synchronisation multi-appareils.
Protocole SRP et authentification sans divulgation de mot de passe maître
Certains gestionnaires de mots de passe vont plus loin en intégrant des protocoles d’authentification avancés comme SRP (Secure Remote Password). Le principe de SRP est de vous authentifier auprès d’un serveur sans jamais lui transmettre votre mot de passe maître, ni même une valeur directement dérivable de celui-ci. Au lieu de cela, votre appareil et le serveur échangent des valeurs cryptographiques calculées à partir de secrets partagés, de nombres aléatoires et de fonctions mathématiques, permettant à chacun de vérifier l’identité de l’autre sans révéler le secret initial.
Ce modèle réduit considérablement l’impact potentiel d’une interception de trafic ou d’une compromission ponctuelle du serveur d’authentification. Même si un attaquant parvenait à capturer tous les échanges entre votre application et le serveur, il ne disposerait pas des éléments nécessaires pour en déduire votre mot de passe maître. Là encore, la sécurité ne repose pas sur la discrétion du fournisseur, mais sur des propriétés mathématiques vérifiables et des standards ouverts largement audités par la communauté de sécurité.
Pour vous, cette sophistication reste invisible : vous saisissez votre mot de passe maître, l’application se connecte au service, et vous accédez à votre coffre-fort. Mais en arrière-plan, ce type de protocole protège la clé de voûte de votre sécurité : le secret à partir duquel sont chiffrés tous vos mots de passe uniques. En combinant SRP, dérivation de clé robuste et AES-256, les gestionnaires modernes créent une barrière technique très élevée pour tout attaquant qui tenterait de compromettre votre gestion des mots de passe.
Synchronisation end-to-end encrypted entre appareils mobiles et desktop
La synchronisation multi-appareils est devenue incontournable : vous avez besoin de vos mots de passe sur votre ordinateur, votre smartphone, votre tablette, voire au sein de votre navigateur. Sans chiffrement de bout en bout (end-to-end encryption), cette synchronisation serait une nouvelle surface d’attaque majeure. Les gestionnaires sérieux chiffrent donc les données localement, puis ne synchronisent que des blobs chiffrés via leurs serveurs ou des services tiers (iCloud, Google Drive, WebDAV…).
Concrètement, cela signifie que le même vault chiffré est téléchargé sur chacun de vos appareils, puis déchiffré localement grâce à votre mot de passe maître ou à un mécanisme biométrique (empreinte digitale, reconnaissance faciale) lié à ce mot de passe. Ni l’éditeur du gestionnaire, ni le fournisseur de stockage cloud ne peuvent lire vos informations. En cas de compromission d’un de ces services, un attaquant devrait encore casser votre chiffrement, ce qui est hautement improbable si les mécanismes de dérivation de clé sont correctement paramétrés.
Cette synchronisation sécurisée enlève l’un des principaux freins à l’adoption de mots de passe uniques pour chaque site : la peur d’être « bloqué » loin de son ordinateur principal. Vous pouvez créer, utiliser et modifier des identifiants complexes depuis n’importe quel appareil, sans jamais retomber dans la tentation d’un mot de passe simple et réutilisé « juste pour dépanner ». En pratique, plus la synchronisation est fluide et transparente, plus il devient naturel pour vous de respecter une politique stricte d’unicité des mots de passe, sans sacrifier votre confort d’utilisation.
Génération cryptographiquement sécurisée de mots de passe uniques
L’un des grands avantages des gestionnaires modernes réside dans leur capacité à générer des mots de passe cryptographiquement sécurisés. Contrairement à une simple « idée de mot de passe » que vous pourriez inventer (et qui reflète souvent vos habitudes ou votre langue), ces générateurs s’appuient sur des sources d’aléa de haute qualité fournies par le système d’exploitation (/dev/urandom sous Linux, API CryptGenRandom sous Windows, etc.). Le but est de produire des suites de caractères imprévisibles, même pour un attaquant qui connaîtrait votre façon de penser.
Dans la pratique, ces générateurs permettent de créer des mots de passe de 16, 20, voire 32 caractères, mélangeant majuscules, minuscules, chiffres et symboles, ou des phrases de passe composées de mots aléatoires. Vous pouvez définir des politiques différentes selon le type de compte : exigences de longueur minimale pour les banques, exclusion de certains caractères pour les services plus anciens, ou encore génération systématique de mots de passe différents pour chaque site. Ce réglage fin est essentiel pour faire coexister sécurité maximale et compatibilité avec des plateformes parfois vieillissantes.
En combinant génération aléatoire et stockage chiffré, vous éliminez deux grandes faiblesses humaines : la tendance à choisir des mots de passe trop simples, et la tentation de les réutiliser d’un site à l’autre. Une fois la fonction de génération adoptée, la question ne devient plus « quel mot de passe vais-je inventer ? », mais simplement « quelle longueur et quel type de mot de passe ce service exige-t-il ? ». Vous déléguez la partie la plus délicate – la création d’un secret robuste et unique – à un algorithme conçu précisément pour ça.
Impact quantifiable sur la surface d’attaque numérique
Réutiliser un mot de passe sur dix sites différents revient, d’un point de vue statistique, à multiplier par dix votre surface d’attaque pour ce même secret. En pratique, c’est même pire : certains services sont beaucoup moins sécurisés que d’autres, ce qui crée des « maillons faibles » par lesquels les attaquants peuvent entrer. À l’inverse, adopter des mots de passe uniques pour chaque site fragmente votre surface d’attaque en une multitude de segments indépendants. Un incident isolé n’entraîne plus de réaction en chaîne.
On peut modéliser l’impact de cette approche : si vous disposez de 100 comptes et que vous n’utilisez que 5 mots de passe différents, la compromission de l’un d’eux peut potentiellement exposer jusqu’à 20 comptes, selon la façon dont vous les répartissez. En revanche, avec 100 mots de passe uniques, une violation ne concerne qu’un seul service (ou un petit sous-ensemble si vous partagez volontairement certains accès professionnels via un coffre commun). Le gain en résilience est considérable : la probabilité d’un scénario de piratage massif de votre identité numérique chute de façon drastique.
À l’échelle d’une entreprise, cette logique se traduit par une réduction mesurable des incidents de sécurité liés aux credentials. Les rapports annuels de sociétés spécialisées comme Verizon ou IBM montrent que la majorité des intrusions initiales exploitent des identifiants compromis. En imposant des mots de passe uniques, stockés dans des gestionnaires sécurisés et complétés par une authentification multi-facteurs, vous diminuez la probabilité d’une compromission réussie et, surtout, vous limitez sa propagation latérale au sein de votre système d’information. Autrement dit, vous transformez des risques systémiques en incidents ponctuels gérables.
Analyse comparative des violations de données majeures
Les grandes violations de données des dix dernières années constituent une source d’enseignements précieuse sur les risques liés aux mots de passe réutilisés. Elles montrent de manière répétée que le problème ne se limite pas au site initialement compromis : les identifiants exfiltrés alimentent ensuite un écosystème entier de revente, de réutilisation et d’agrégation. En analysant quelques cas emblématiques, vous pouvez mesurer concrètement l’impact d’une bonne ou d’une mauvaise hygiène de mots de passe sur votre exposition personnelle.
Au-delà des chiffres impressionnants (millions ou milliards de comptes concernés), le point commun de ces incidents est la façon dont les données fuitées ont été exploitées dans le temps. Des années après le breach initial, les mêmes couples identifiant/mot de passe continuent d’être testés sur de nouveaux services, dans l’espoir que les utilisateurs ne les aient pas changés ou qu’ils les réutilisent encore ailleurs. C’est précisément ce scénario que vous pouvez casser en adoptant systématiquement des mots de passe uniques pour chaque site, associés à un gestionnaire et à une authentification multi-facteurs.
Breach yahoo 2013-2014 : 3 milliards de comptes compromis par réutilisation
La série de violations subies par Yahoo en 2013-2014 reste l’un des cas les plus massifs de l’histoire, avec jusqu’à 3 milliards de comptes impactés selon les estimations finales. Au-delà de l’ampleur brute, ce qui a amplifié les conséquences, c’est la réutilisation systématique des mêmes identifiants sur d’autres services. De nombreux utilisateurs employaient leur adresse Yahoo comme identifiant principal et réutilisaient le même mot de passe pour leurs réseaux sociaux, sites marchands, voire comptes professionnels.
Une fois les données exfiltrées, les attaquants n’ont pas eu besoin de casser tous les mots de passe pour en tirer profit. Les combinaisons déjà connues ou facilement devinables ont suffi à ouvrir des milliers d’autres comptes sur des plateformes tierces. Beaucoup de victimes n’avaient plus utilisé Yahoo depuis des années et pensaient que ce compte « ancien » ne présentait plus de risque. En réalité, il servait toujours de clé d’accès à des pans entiers de leur vie numérique, précisément parce que le mot de passe avait été réutilisé.
Attaque equifax 2017 et propagation latérale via credentials partagés
L’incident Equifax de 2017, bien que principalement lié à une vulnérabilité applicative non corrigée, illustre un autre volet du problème : la propagation latérale via des credentials partagés ou réutilisés. Une fois le premier point d’appui obtenu dans le système, les attaquants cherchent des identifiants internes (comptes administrateurs, accès à des bases de données, outils internes) pour élargir leur contrôle. Or, dans de nombreuses organisations, les mêmes mots de passe sont réutilisés sur plusieurs environnements (test, préproduction, production) ou partagés entre plusieurs administrateurs.
Ce manque de segmentation logique des accès facilite la vie de l’attaquant : un seul mot de passe compromis peut donner accès à plusieurs segments critiques de l’infrastructure. Même si l’attaque initiale ne reposait pas sur un mot de passe faible, la phase d’escalade de privilèges et de mouvement latéral exploite souvent des habitudes de réutilisation en interne. À l’inverse, une politique stricte de mots de passe uniques, combinée à des coffres-forts d’équipe et à une rotation régulière des accès sensibles, aurait rendu la progression de l’attaquant beaucoup plus complexe et plus facilement détectable.
Collection #1-5 et agrégation de 2,2 milliards d’identifiants uniques
En 2019, la découverte des collections #1 à #5 a mis en lumière l’industrialisation de l’agrégation d’identifiants compromis. Ces ensembles, diffusés sur des forums de hackers, rassemblaient plus de 2,2 milliards de combinaisons uniques d’e-mails et de mots de passe, compilées à partir de milliers de violations de données antérieures. Pour les cybercriminels, ces méga-bases représentent un gisement quasi inépuisable pour alimenter campagnes de phishing ciblé, credential stuffing et tentatives d’usurpation d’identité.
Pour vous, la leçon est claire : si vous avez réutilisé le même mot de passe sur plusieurs sites au cours des dernières années, il est probable qu’il figure déjà dans au moins une de ces collections, parfois associé à plusieurs services différents. À l’inverse, si vous pratiquez l’unicité stricte des mots de passe et que vous les renouvelez lorsqu’un service annonce une fuite, la présence d’un de vos anciens secrets dans ces bases n’ouvre plus automatiquement la porte à de nouveaux comptes. Vous transformez ce qui aurait pu être une faille systémique en incident circonscrit.
Mise en œuvre technique de l’authentification multi-facteurs complémentaire
Les mots de passe uniques pour chaque site constituent une base essentielle, mais ils ne suffisent plus à eux seuls face à des attaquants déterminés. C’est là qu’intervient l’authentification multi-facteurs (MFA), qui ajoute une ou plusieurs couches de vérification à votre mot de passe. L’idée est simple : même si un attaquant parvient à obtenir ou deviner votre mot de passe, il lui manquera encore un second facteur, beaucoup plus difficile à intercepter ou à reproduire.
Techniquement, la MFA repose sur la combinaison de plusieurs catégories de facteurs : quelque chose que vous connaissez (votre mot de passe), quelque chose que vous possédez (un smartphone, une clé de sécurité physique type YubiKey) et quelque chose que vous êtes (biométrie : empreinte, visage). Les implémentations modernes s’appuient sur des standards comme TOTP (Time-based One-Time Password), WebAuthn ou FIDO2, qui permettent de générer des codes temporaires ou de réaliser une authentification forte sans jamais transmettre de secret réutilisable au serveur.
En pratique, la mise en œuvre la plus accessible reste l’authentification à code temporaire via une application (Google Authenticator, Microsoft Authenticator, Authy…). Lorsque vous vous connectez à un service, vous saisissez d’abord votre mot de passe unique, puis un code à 6 chiffres généré localement sur votre téléphone et renouvelé toutes les 30 secondes. Même si un attaquant intercepte ce code, sa durée de validité extrêmement courte et la nécessité de l’associer au bon compte au bon moment réduisent considérablement les chances d’exploitation.
Pour renforcer encore votre niveau de sécurité, surtout sur les comptes critiques (messagerie principale, banque, hébergeur, gestionnaire de mots de passe), l’idéal est de combiner mots de passe uniques, gestionnaire sécurisé et MFA basée sur des clés physiques ou des protocoles WebAuthn/FIDO2. Dans ce modèle, le facteur de possession (votre clé ou votre appareil) signe cryptographiquement la demande de connexion, sans jamais révéler un secret global. Vous réduisez ainsi au minimum l’impact d’une fuite de données ou d’un hameçonnage : même si votre mot de passe se retrouve dans une base de données compromise, il ne suffira pas, à lui seul, pour ouvrir la moindre porte.
