Vous aimeriez ne pas avoir de mot de passe. Mais ce n’est pas le cas.

La plupart d’entre nous ne veulent pas vraiment de mots de passe. Nous voulons qu’ils disparaissent — remplacés par quelque chose de plus propre, invisible, plus sûr par conception. Passkeys, biométrie, appareils qui savent simplement que c’est vous. C’est la direction, et c’est une bonne.

Mais voici la partie que nous ne disons pas à voix haute : nous n’y sommes pas encore.

Les mots de passe sont toujours partout, surtout dans les endroits qui comptent le plus. Systèmes hérités. Comptes de service. Scripts que personne ne veut toucher. Environnements hybrides qui maintiennent tout ensemble. Plus c’est invisible, plus c’est critique.

Kevin Mitnick a dit un jour, « Le facteur humain est vraiment le maillon le plus faible de la sécurité. »

C’est un point simple. Cela reformule le problème. Il ne s’agit pas de combinaisons astucieuses de caractères ou de règles de complexité. Il s’agit d’accès — et de la facilité avec laquelle il peut être mal utilisé.

Et maintenant, l'IA accélère ce risque. Ce qui prenait du temps—deviner, craquer, tester des identifiants—peut désormais être automatisé et étendu. Des suppositions plus rapides, des schémas plus intelligents, un meilleur ciblage.

Si un identifiant fonctionne, il fonctionne — et c’est suffisant.

Nous sommes au milieu. Les passkeys se développent, les mots de passe persistent, et l'identité est devenue le plan de contrôle pour tout. Cette tension est là où réside le risque.

Et puis il y a le côté humain. Nous oublions. Nous réutilisons. Nous partageons quand c’est plus facile que de bien faire. À 20 personnes, ça passe. À 100, ça commence à craquer. À grande échelle, ça se casse silencieusement—pas de grand événement, juste de petites failles qui s’accumulent.

Si vous souhaitez un aperçu concret de ce à quoi ressemble réellement cette répartition à mesure que les équipes grandissent, Sascha Marten en fait l’analyse.

Les mots de passe plus longs aident. Les phrases de passe aident. Mais ce sont toujours des identifiants. Ils peuvent toujours être exposés, réutilisés et partagés. La longueur ne change pas ce qui compte vraiment : l’accès.

Et si les mots de passe doivent exister, ils ont besoin de garde-fous. Jeremy Moskowitz le souligne bien : vous avez toujours des mots de passe—donc vous devez appliquer la façon dont ils sont créés et utilisés.

Alors, que faites-vous — pas dans un futur lointain, mais maintenant, tant que les mots de passe existent encore ?

Vous ne poursuivez pas la perfection. Vous contrôlez ce qui est réel. Qui a accès, où cela se trouve, comment c’est utilisé et quand cela change.

Vince Lombardi l'a dit mieux que moi : « La perfection n'est pas atteignable, mais si nous poursuivons la perfection, nous pouvons atteindre l'excellence. » Passwordless arrive. Mais le contrôle est aujourd'hui.

Alors oui—utilisez World Password Day pour sensibiliser. Mais ne vous arrêtez pas à de meilleurs mots de passe. Concentrez-vous sur ce qu’ils déverrouillent.