Pourquoi vous avez besoin d'un gestionnaire de mots de passe en 2026 (même avec l'arrivée des passkeys)
Les passkeys se déploient sur le web, mais en 2026 la couverture reste partielle. Un gestionnaire de mots de passe gère les passkeys, les OTP et la longue traîne des mots de passe hérités. Voici une analyse honnête.
Ce que fait un gestionnaire de mots de passe
Un gestionnaire de mots de passe génère un mot de passe aléatoire unique pour chaque compte, stocke ces mots de passe chiffrés avec une clé dérivée d'un mot de passe maître unique et remplit automatiquement les identifiants au moment de la connexion. L'architecture élimine la réutilisation des mots de passe — le comportement le plus exploitable dans les attaques de prise de contrôle de compte. Les cinq gestionnaires comparés sur ce site (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) implémentent un chiffrement zero-knowledge : le serveur du fournisseur, en cas de compromission, ne détient que des blobs chiffrés qui ne peuvent pas être déchiffrés sans le mot de passe maître de l'utilisateur.
Les passkeys ne remplacent pas les gestionnaires de mots de passe en 2026
Les passkeys (FIDO2 / WebAuthn) sont des identifiants résistants au phishing qui se lient cryptographiquement à une origine spécifique. Elles constituent une nette amélioration par rapport aux mots de passe là où elles sont prises en charge. Le hic, c'est le déploiement : en 2026, la prise en charge des passkeys par les grands sites reste partielle et incohérente. Les banques, les services publics, les SaaS de niche et la plupart des anciens systèmes d'entreprise s'appuient encore sur les mots de passe. Les principaux gestionnaires de mots de passe (Bitwarden, 1Password, Proton Pass) stockent désormais les passkeys aux côtés des mots de passe, de sorte que le gestionnaire reste le bon foyer pour les deux.
Choisir son premier gestionnaire
Trois options couvrent la majorité des utilisateurs. Bitwarden Free couvre un nombre illimité de mots de passe avec une implémentation open-source auditée (selon github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free est similaire, avec une juridiction suisse (selon proton.me/pass/pricing). KeePassXC est l'option exclusivement locale, sans aucune composante cloud (selon keepassxc.org). Choisissez celui qui correspond à votre préférence de synchronisation (cloud audité ou local), importez les mots de passe enregistrés dans votre navigateur et activez la 2FA sur le compte du gestionnaire lui-même.
Pourquoi le mot de passe maître compte plus que le choix du gestionnaire
Chaque gestionnaire de mots de passe zero-knowledge audité protège votre coffre avec une clé dérivée de votre mot de passe maître via une KDF gourmande en mémoire (Argon2id est la meilleure pratique actuelle ; PBKDF2 avec un nombre élevé d'itérations est la norme plus ancienne). Si le mot de passe maître est court ou facile à deviner, la robustesse du chiffrement n'a aucune importance — un attaquant qui vole le blob chiffré peut le forcer hors ligne. La solution est une phrase secrète : 4 à 6 mots aléatoires du dictionnaire offrent environ 50 à 80 bits d'entropie, plus que n'importe quel mot de passe assez court pour être saisi confortablement.
Sources
Audits Bitwarden : bitwarden.com/help/is-bitwarden-audited. Code source Bitwarden : github.com/bitwarden. Proton Pass : proton.me/pass/pricing + github.com/ProtonPass. KeePassXC : keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (lauréat de la Password Hashing Competition) : password-hashing.net/argon2-specs.pdf. Toutes les URL consultées le 2026-04-30.