Générer un mot de passe Wi-Fi sécurisé pour WPA2 et WPA3

Un réseau Wi-Fi sécurisé commence par une bonne phrase de passe. Pas par le nom du chien, pas par le numéro de téléphone, pas par azerty123, et certainement pas par la clé imprimée sous la box depuis dix ans.

À l’époque, on parlait souvent de “clé WPA”. Aujourd’hui, le terme le plus juste est plutôt mot de passe Wi-Fi ou phrase de passe WPA2/WPA3. Le principe reste simple : plus elle est longue, unique et imprévisible, plus elle résiste aux attaques par dictionnaire.

Voici comment générer une phrase de passe Wi-Fi robuste, choisir le bon mode de sécurité, éviter les erreurs classiques et partager votre accès sans exposer votre réseau principal.

WEP, WPA, WPA2, WPA3 : que choisir ?

Les modes de sécurité Wi-Fi ont beaucoup évolué. Certains anciens réglages doivent désormais disparaître de votre configuration.

Mode	Statut	Recommandation
WEP	Obsolète	À ne jamais utiliser.
WPA	Ancien	À éviter.
WPA2-Personal	Encore très courant	Acceptable avec AES/CCMP et une phrase de passe solide.
WPA3-Personal	Moderne	À privilégier si tous vos appareils le supportent.
WPA2/WPA3 transition	Compatibilité	Utile avec des appareils anciens, mais moins strict que WPA3 seul.

Sur une box ou un routeur récent, choisissez WPA3-Personal si tous vos appareils sont compatibles. Sinon, utilisez WPA2-Personal AES ou un mode transition WPA2/WPA3 si vous avez encore des équipements plus anciens.

Évitez les réglages qui mentionnent WEP, TKIP ou WPA seul. Ils appartiennent au musée du Wi-Fi, entre les antennes 802.11b et les clés USB qui chauffaient comme des grille-pain.

Quelle longueur pour un bon mot de passe Wi-Fi ?

Pour un mot de passe Wi-Fi, la longueur compte énormément. Contrairement au mot de passe d’un compte personnel, la phrase de passe Wi-Fi est souvent partagée avec plusieurs appareils, parfois pendant des années. Elle mérite donc d’être plus longue qu’un mot de passe classique.

Recommandation simple :

• minimum acceptable : 16 caractères aléatoires ;
• bon niveau : 20 à 32 caractères aléatoires ;
• très bon niveau : phrase de passe de 5 à 7 mots aléatoires ;
• à éviter : mots du dictionnaire, dates, prénoms, adresse, numéro de téléphone, nom du réseau.

Le WPA2-Personal accepte une phrase de passe de 8 à 63 caractères ASCII. Mais 8 caractères, c’est seulement le minimum technique. Ce n’est pas une bonne cible de sécurité. Le minimum, c’est le sol. Pas le plafond.

Mot de passe aléatoire ou phrase de passe ?

Vous avez deux bonnes options : un mot de passe aléatoire court mais dense, ou une phrase de passe plus longue et plus facile à dicter.

Type	Exemple	Avantage	Limite
Aléatoire	vK8!rZ4pT9mQ2sL7xA6	Très robuste et compact.	Difficile à dicter.
Phrase de passe	nuage-bocal-satin-kiwi-moteur-lampe	Plus lisible et partageable.	Doit utiliser des mots vraiment aléatoires.

Pour un réseau domestique, une phrase de passe de plusieurs mots aléatoires est souvent le meilleur compromis. Elle est longue, difficile à deviner, et moins pénible à saisir sur une TV, une console ou une imprimante.

Générer une phrase de passe Wi-Fi localement

Évitez les générateurs de mots de passe Wi-Fi douteux en ligne. Un générateur web peut être honnête, mais vous n’avez pas toujours moyen de le vérifier. Pour une clé Wi-Fi, générez localement sur votre machine ou avec un gestionnaire de mots de passe fiable.

Sous Linux ou macOS, vous pouvez générer une clé aléatoire avec OpenSSL :

openssl rand -base64 24

Cette commande produit une chaîne aléatoire pratique pour WPA2/WPA3. Exemple :

4vXKq9rQkU6h8sQ8xB9pFzNwZrE=

Pour éviter certains caractères gênants à saisir sur des appareils limités, vous pouvez générer une chaîne alphanumérique :

LC_ALL=C tr -dc 'A-Za-z0-9' < /dev/urandom | head -c 24; echoLangage du code : JavaScript (javascript)

Cette version évite les symboles. Elle est un peu moins dense qu’une chaîne avec caractères spéciaux, mais 24 caractères aléatoires restent très solides pour un usage Wi-Fi domestique.

Générer une phrase de passe avec plusieurs mots

Une phrase de passe doit utiliser des mots choisis au hasard. Ne composez pas une phrase logique du type JHabiteParisDepuis2012. C’est mieux que password, mais ce n’est pas vraiment aléatoire.

La bonne méthode consiste à tirer des mots dans une liste, puis à les assembler avec un séparateur.

Exemple de phrase de passe :

bambou-givre-cactus-opera-poulie-safran

Ce type de phrase est beaucoup plus facile à partager oralement qu’un bloc de symboles. Et contrairement à une phrase personnelle, elle ne révèle rien sur vous.

Générateur de clés WPA3 sécurisées

J’ai à cet effet créé un générateur de clés WPA sécurisées en HTML, CSS et vanilla JS : il vous suffit de choisir le type de clé qui convient le mieux à votre usage.

Je vous recommande bien évidemment la clé de 63 caractères mais vous avez aussi la possibilité de choisir le nombre de caractères qui vous plait:

Ce générateur utilise crypto.getRandomValues(), donc une source aléatoire adaptée côté navigateur. Il limite aussi la longueur à 63 caractères, compatible avec les phrases de passe WPA2/WPA3-Personal.

Générateur de passphrase WPA3 sécurisée

Mais nous pouvons aller plus loin! Voici un générateur de passphrase:

Pour le Wi-Fi, je garderais :

6 mots + tirets + nombre finalLangage du code : PHP (php)

Exemple de sortie :

bambou-givre-cactus-opera-poulie-safran-42

C’est plus agréable à dicter qu’une clé aléatoire avec symboles, et nettement meilleur qu’une phrase “humaine” prévisible.

Faut-il utiliser des caractères spéciaux ?

Les caractères spéciaux augmentent l’espace de recherche, mais ils compliquent la saisie sur certains appareils : téléviseurs, consoles, imprimantes, objets connectés, claviers virtuels ou télécommandes.

Pour un Wi-Fi domestique, je préfère souvent :

• une phrase de passe longue et lisible pour le réseau principal ;
• un mot de passe aléatoire plus simple à scanner via QR code pour le réseau invité ;
• pas de caractères ambigus si vous devez le dicter souvent.

Évitez par exemple de mélanger trop de O, 0, I, l et 1 si vous devez le recopier à la main. La sécurité, oui. Le karaoké de caractères ambigus dans le salon, non.

Exemples de mots de passe Wi-Fi robustes

Voici des exemples de formats corrects. Ne les utilisez pas tels quels : ils sont publiés ici, donc grillés.

riviere-marteau-jardin-velours-pollen-nuage
T8vQ3zKp6LmN9sRb2XaH7wYc
cactus!moteur!piano!safran!orbite!delta

Un bon mot de passe Wi-Fi doit être :

• unique ;
• long ;
• imprévisible ;
• non lié à votre identité ;
• différent du mot de passe d’administration de la box ;
• différent du mot de passe de vos comptes en ligne.

Changer le mot de passe Wi-Fi de sa box

La procédure dépend de votre fournisseur d’accès et du routeur. En général, vous devez vous connecter à l’interface d’administration de la box, puis ouvrir les paramètres Wi-Fi.

La logique est souvent la même :

1. connectez-vous à l’interface de la box ou du routeur ;
2. ouvrez les paramètres Wi-Fi ;
3. choisissez WPA2-Personal AES ou WPA3-Personal ;
4. remplacez l’ancien mot de passe ;
5. enregistrez les changements ;
6. reconnectez vos appareils avec la nouvelle phrase de passe.

Après modification, tous les appareils déjà connectés devront se reconnecter : ordinateurs, smartphones, tablettes, TV, consoles, imprimantes, assistants vocaux, caméras, thermostats et autres petites boîtes bavardes.

Désactiver WPS

WPS permet de connecter rapidement un appareil au Wi-Fi, souvent avec un bouton ou un code PIN. C’est pratique, mais ce n’est pas idéal côté sécurité, surtout quand le mode PIN est actif.

Si vous n’utilisez pas WPS, désactivez-le dans l’interface de votre box ou routeur. Cela réduit la surface d’attaque et évite qu’une fonction oubliée affaiblisse une excellente phrase de passe.

Une bonne clé Wi-Fi avec WPS ouvert derrière, c’est un peu comme une porte blindée avec la fenêtre entrouverte. Pas dramatique dans tous les cas, mais franchement évitable.

Créer un réseau invité

Ne donnez pas forcément le mot de passe de votre réseau principal à tout le monde. La plupart des box et routeurs permettent de créer un réseau invité séparé.

Un réseau invité permet de :

• donner Internet à vos proches sans exposer vos appareils internes ;
• isoler les smartphones de passage ;
• changer facilement le mot de passe invité ;
• éviter de communiquer la clé du réseau principal ;
• limiter l’accès au réseau local si l’option existe.

Pour un usage domestique, c’est l’un des meilleurs réglages. Gardez le réseau principal pour vos appareils fiables, et le réseau invité pour les invités, objets temporaires ou appareils moins sûrs.

Créer un QR code Wi-Fi

Un QR code Wi-Fi permet de partager l’accès sans dicter le mot de passe. Les smartphones peuvent scanner le code et se connecter automatiquement.

Le format standard ressemble à ceci :

WIFI:T:WPA;S:NomDuReseau;P:MotDePasseWifi;;Langage du code : CSS (css)

Exemple :

WIFI:T:WPA;S:Maison-Invite;P:riviere-marteau-jardin-velours-pollen;;Langage du code : CSS (css)

Vous pouvez générer ce QR code localement avec un outil de confiance, ou depuis certaines interfaces de box. Évitez d’envoyer votre mot de passe Wi-Fi principal à un générateur QR en ligne inconnu. Encore une fois : local, c’est mieux.

Faut-il masquer le nom du réseau Wi-Fi ?

Masquer le SSID donne une impression de sécurité, mais ce n’est pas une vraie protection. Le nom du réseau peut être retrouvé avec des outils de capture Wi-Fi, et certains appareils deviennent même plus bavards quand ils cherchent un réseau masqué.

Gardez plutôt un SSID normal, sans information personnelle. Évitez :

• votre nom complet ;
• votre adresse ;
• le modèle exact de votre routeur ;
• un nom qui identifie votre entreprise ou votre logement trop précisément.

Un nom comme Maison, Atelier, Wifi-Prive ou un nom neutre suffit. Inutile de baptiser le réseau Livebox-Du-3e-Gauche-Matt. Le voisinage n’a pas besoin du dossier complet.

Faut-il changer la clé Wi-Fi régulièrement ?

Changer la clé Wi-Fi tous les mois n’a pas beaucoup d’intérêt si elle est robuste et si vous contrôlez les appareils connectés. En revanche, il faut la changer dans certains cas précis.

Changez le mot de passe Wi-Fi si :

• vous avez partagé la clé avec trop de personnes ;
• un ancien colocataire, prestataire ou invité ne doit plus accéder au réseau ;
• vous soupçonnez un appareil inconnu ;
• vous avez utilisé un mot de passe faible ;
• vous avez acheté une box ou un routeur d’occasion ;
• vous passez de WPA/WEP à WPA2/WPA3 ;
• vous avez laissé WPS actif pendant longtemps.

Sinon, gardez une phrase de passe solide et surveillez les appareils connectés. C’est plus utile qu’un changement rituel qui finit écrit sur un Post-it.

Séparer les objets connectés du réseau principal

Les objets connectés sont souvent le maillon faible d’un réseau domestique : caméras, ampoules, prises, assistants vocaux, aspirateurs, thermostats, imprimantes et autres gadgets très contents de parler au cloud.

Si votre box ou routeur le permet, placez-les sur un réseau séparé :

• réseau invité ;
• SSID IoT dédié ;
• VLAN si votre matériel le permet ;
• isolation client si disponible.

Ce n’est pas obligatoire pour tout le monde, mais c’est une bonne pratique si vous avez beaucoup d’objets connectés ou des appareils rarement mis à jour.

Vérifier les appareils connectés

Après avoir changé la clé Wi-Fi, profitez-en pour vérifier la liste des appareils connectés dans l’interface de votre box ou routeur.

Repérez :

• les appareils inconnus ;
• les anciens téléphones ;
• les objets connectés oubliés ;
• les doublons étranges ;
• les noms génériques impossibles à identifier ;
• les appareils invités encore présents.

Renommez les appareils quand l’interface le permet. Une liste claire aide énormément. android-8f3a92, unknown et ESP_12F ne sont pas exactement des sommets de lisibilité.

Checklist pour sécuriser son Wi-Fi

• Utiliser WPA3-Personal si tous les appareils sont compatibles.
• Sinon, utiliser WPA2-Personal AES.
• Éviter WEP, WPA ancien et TKIP.
• Créer une phrase de passe longue, unique et aléatoire.
• Viser 20 à 32 caractères ou 5 à 7 mots aléatoires.
• Ne pas réutiliser un mot de passe de compte en ligne.
• Désactiver WPS si vous ne l’utilisez pas.
• Créer un réseau invité.
• Séparer les objets connectés si possible.
• Mettre à jour le firmware de la box ou du routeur.
• Vérifier régulièrement les appareils connectés.
• Changer la clé si elle a été trop partagée.

Dépannage : un appareil ancien ne se connecte plus

Si un vieux téléphone, une imprimante ou une console ne se connecte plus après passage à WPA3, l’appareil ne supporte peut-être pas ce mode.

Solutions possibles :

• utiliser un mode transition WPA2/WPA3 ;
• créer un réseau invité WPA2 séparé ;
• mettre à jour le firmware de l’appareil ;
• remplacer l’appareil s’il impose un mode obsolète ;
• éviter de repasser tout le réseau en sécurité faible pour un seul appareil.

Le bon compromis consiste souvent à garder le réseau principal en WPA3 ou WPA2 solide, puis isoler les vieux appareils sur un réseau invité ou IoT.

Dépannage : la nouvelle clé est trop compliquée à saisir

Si vos invités ou appareils multimédias galèrent à saisir la clé, ne baissez pas la sécurité. Changez le format.

Préférez :

• une phrase de passe de mots aléatoires ;
• un QR code Wi-Fi ;
• un réseau invité séparé ;
• une clé sans caractères ambigus.

Une clé comme pierre-loutre-violet-cafe-radar sera souvent plus facile à saisir que qT7!zR2#xP9%, tout en restant très correcte si les mots sont tirés au hasard et assez nombreux.

Dépannage : un appareil inconnu apparaît sur le réseau

Si vous voyez un appareil inconnu, ne paniquez pas immédiatement. Beaucoup d’appareils affichent des noms techniques ou changent d’adresse MAC à cause de la randomisation MAC.

Procédez proprement :

1. comparez avec vos appareils réels ;
2. déconnectez temporairement les objets connectés ;
3. renommez les appareils connus dans l’interface de la box ;
4. changez la clé Wi-Fi si le doute persiste ;
5. désactivez WPS ;
6. redémarrez la box ;
7. surveillez les reconnexions.

Si l’appareil revient après changement de clé, il s’agit probablement d’un de vos équipements. Si vous ne l’identifiez toujours pas, isolez-le ou bloquez-le depuis l’interface réseau.

Méthode recommandée aujourd’hui

Pour sécuriser un réseau Wi-Fi domestique ou de petite structure, voici la méthode simple :

1. choisir WPA3-Personal si possible ;
2. sinon choisir WPA2-Personal AES ;
3. générer localement une phrase de passe longue ;
4. désactiver WPS ;
5. créer un réseau invité ;
6. séparer les objets connectés si possible ;
7. mettre à jour la box ou le routeur ;
8. vérifier les appareils connectés ;
9. garder le mot de passe dans un gestionnaire fiable ;
10. changer la clé si elle a trop circulé.

C’est simple, efficace, et bien plus solide que chercher un vieux “générateur de clé WPA” au hasard sur le web.

À retenir

Un bon mot de passe Wi-Fi doit être long, unique et imprévisible. Pour WPA2 ou WPA3, visez au moins 20 à 32 caractères aléatoires, ou une phrase de passe de plusieurs mots tirés au hasard.

La sécurité Wi-Fi ne repose pas uniquement sur la clé. Choisissez WPA3 ou WPA2 AES, désactivez WPS, créez un réseau invité et vérifiez les appareils connectés. Le mot de passe est la serrure ; la configuration du routeur, c’est tout le reste de la porte.

Enfin, générez vos clés localement. Un mot de passe Wi-Fi envoyé à un générateur inconnu sur le web, c’est déjà un secret qui voyage. Et un secret qui voyage trop finit rarement discret.

FAQ : générer un mot de passe Wi-Fi sécurisé

Quelle longueur choisir pour une clé Wi-Fi WPA2 ou WPA3 ?

Pour un réseau Wi-Fi, visez 20 à 32 caractères aléatoires, ou une phrase de passe de 5 à 7 mots aléatoires. Le minimum technique de 8 caractères est trop faible pour une bonne sécurité.

WPA3 est-il meilleur que WPA2 ?

Oui, WPA3-Personal améliore l’authentification par rapport à WPA2-Personal sur les appareils compatibles. Mais WPA2-Personal avec AES et une phrase de passe forte reste acceptable si certains appareils ne supportent pas WPA3.

Faut-il utiliser des caractères spéciaux dans la clé Wi-Fi ?

Ce n’est pas obligatoire si la phrase de passe est suffisamment longue et aléatoire. Les caractères spéciaux ajoutent de la robustesse, mais peuvent compliquer la saisie sur certains appareils.

Peut-on utiliser un générateur de mot de passe en ligne ?

Mieux vaut générer la clé localement, avec un gestionnaire de mots de passe, OpenSSL ou un générateur JavaScript local fiable. Un générateur en ligne inconnu ne devrait jamais recevoir votre secret Wi-Fi.

Pourquoi désactiver WPS ?

WPS facilite la connexion, mais peut affaiblir la sécurité, surtout avec le mode PIN. Si vous ne l’utilisez pas, désactivez-le dans les réglages de la box ou du routeur.

Faut-il créer un réseau invité ?

Oui, c’est recommandé. Un réseau invité permet de partager Internet sans donner la clé du réseau principal ni exposer vos appareils personnels.

Articles liés

• Changer les serveurs DNS de la Freebox Revolution
• Le proxy ou comment renforcer anonymat et sécurité
• Accéder au disque dur de la Freebox : FTP, SMB, NAS et Freebox OS
• Configurer un VPN OpenVPN sous Linux avec NetworkManager
• Répliquer ses fichiers : la règle 3-2-1 pour éviter la perte de données

Sources

• ANSSI — 10 règles d’or en matière de sécurité numérique
• ANSSI — Recommandations relatives à l’authentification multifacteur et aux mots de passe
• NIST — Special Publication 800-63B
• Wi-Fi Alliance — Wi-Fi security
• Wi-Fi Alliance — Wi-Fi CERTIFIED WPA3

Report a typo