Un classique agaçant de la vie en ligne
Vous venez de générer un mot de passe de 20 caractères parfaitement aléatoire, vous le collez dans le formulaire d’inscription, et le site affiche : “Caractères non autorisés : &, $, *”. Ou pire : le formulaire accepte votre mot de passe puis le refuse silencieusement à la connexion suivante. Cette situation touche encore 25 % des sites web français en 2026 — et elle est résolvable sans sacrifier la sécurité.
Ce guide recense les 7 solutions concrètes pour s’adapter, tirées de l’expérience de milliers d’utilisateurs confrontés à ces restrictions absurdes. Un générateur avec options de caractères ajustables permet de produire un mot de passe adapté à chaque site en 10 secondes.
Pourquoi certains sites refusent les symboles
Trois raisons techniques, aucune bonne :
- Mauvais échappement SQL historique : le site a été codé avant 2010 sans protection contre l’injection SQL. Interdire les
',",\est un pansement sur un membre de bois. - Limitation d’un champ en base : la colonne “password” de la base a été définie en 32 caractères et en encodage Latin-1, ce qui casse sur UTF-8 ou les caractères étendus.
- Politique héritée : un administrateur a copié une règle NIST 2003 et ne l’a jamais mise à jour.
Aucune de ces raisons ne reflète un vrai souci de sécurité. Au contraire : un site qui traite mal les symboles est probablement faible sur d’autres points (absence de hashage proper, pas de rate limiting, etc.). Considérez ces comptes comme à risque modéré et activez le 2FA dès que possible.
Les 7 solutions classées par efficacité
Solution 1 — Décocher les symboles, monter la longueur
C’est la plus simple et la plus sécurisée. Un mot de passe de 20 caractères sans symboles (alphanumerique) atteint 119 bits d’entropie — largement au-dessus des 100 bits visés pour un compte critique. Concrètement, dans votre générateur : décochez “symboles”, montez le slider à 20 ou 24. Résultat : k8mPq4Rx2nJ7vL9sT3wZ. Zéro symbole, sécurité équivalente à un 14 caractères avec symboles. Pour comprendre pourquoi 20 caractères sont quasi-incassables, voir notre guide des longueurs 12-16-20 caractères.
Solution 2 — Utiliser uniquement les symboles “sûrs”
Certains sites acceptent ! @ # _ - mais refusent $ & * ( ). Configurez votre générateur avec une liste personnalisée de symboles autorisés si l’option existe, ou générez plusieurs mots de passe jusqu’à en obtenir un qui passe. Les symboles les plus largement acceptés en 2026 sont : ! @ # _ - . ?. À éviter sur sites sensibles : % " ' ; \ / < > (souvent refusés pour raisons SQL/XSS).
Solution 3 — Passer en mode passphrase Diceware
Une passphrase de 6 mots (orange-guitare-velo-pluie-mouton-rapide) utilise uniquement des lettres minuscules et des tirets, et franchit les 77 bits d’entropie. Elle passe sur 99 % des sites, même les plus archaïques. Bonus : si le site a une limite de 30 caractères, réduisez à 5 mots (64 bits, toujours acceptable pour un compte non-critique). Un générateur avec mode passphrase intégré bascule entre les deux modes en un clic. Pour savoir quand préférer une passphrase à un mot de passe aléatoire, voir notre comparatif Diceware vs aléatoire.
Solution 4 — Regénérer jusqu’à obtenir un mot de passe sans caractère problématique
Si votre générateur propose “exclure caractères ambigus” (0, O, l, 1, I), utilisez-le pour éviter les soucis de lisibilité. Pour les symboles problématiques, cliquez plusieurs fois sur “régénérer” jusqu’à obtenir un mot de passe qui ne contient que ! @ # _. Cela prend 3-4 essais en moyenne. Solution empirique mais rapide.
Solution 5 — Remplacer manuellement les symboles
Si vous avez déjà un mot de passe fort avec des symboles que vous voulez garder proche de l’original, remplacez chaque caractère interdit par un chiffre ou une lettre. Exemple : K7$mPq!R8xL#n → K7dmPqeR8xLan. L’entropie diminue légèrement, mais vous gardez une structure mémorisée. À utiliser uniquement si vous tapez ce mot de passe à la main ; sinon, régénérez.
Solution 6 — Utiliser un mot de passe 100 % chiffres (PIN long)
Certains sites bancaires anciens imposent un code à 6-8 chiffres. Un PIN de 8 chiffres a seulement 27 bits d’entropie, cassable en quelques minutes. Si vous n’avez pas le choix, activez impérativement le 2FA (SMS ou app) et changez la limite imposée par un produit moderne dès que possible (banque en ligne type Boursorama, Revolut, Wise).
Solution 7 — Reporter le problème au support du site
Pour les sites pro (banque, impôts, administration), signalez la limitation au support. Exemple de message : “Bonjour, votre formulaire d’inscription refuse les mots de passe contenant $ et &. Cette restriction réduit la sécurité des comptes. Pouvez-vous autoriser tous les caractères ASCII imprimables ?” Les sites sérieux (CAF, impots.gouv.fr) ont souvent mis à jour suite à ces remontées. N’attendez pas de réponse rapide, mais ça change le système sur le long terme.
Tableau récapitulatif des cas fréquents
| Site qui refuse | Meilleure solution |
|---|---|
| Banque ancienne, 6-8 chiffres uniquement | PIN + 2FA SMS, migration vers néobanque |
E-commerce, refuse & $ * | Symboles restreints ! @ # _ - ou 20 car. alphanumérique |
| Forum, refuse tout symbole | Passphrase Diceware 5-6 mots |
| Compte pro, max 16 caractères | 16 car. avec toute complexité possible + 2FA |
| Site archaïque sans 2FA | Alphanumerique 24 car. + changer le compte régulièrement |
Ce qu’il NE faut PAS faire
- Ajouter un caractère “pour compenser” : si le site refuse votre
K7$mPq2xL, ne mettez pasK7$mPq2xL!à la place (le symbole final est un pattern trivial). Regénérez intégralement. Ce réflexe figure d’ailleurs dans notre top 7 des erreurs de création à éviter. - Réutiliser un mot de passe d’un autre site : même si la force est équivalente, si l’autre site fuite, ce compte tombe.
- Écrire le mot de passe en clair dans un fichier Word : utilisez un gestionnaire de mot de passe ou un carnet papier rangé dans un tiroir fermé à clé.
- Utiliser un motif type
Printemps2026!: cassé en quelques secondes par les attaques modernes.
Le bon réflexe à prendre
Le meilleur temps d’investir dans cette question, c’est à l’inscription : générez un mot de passe adapté aux règles du site, stockez-le dans votre gestionnaire, activez le 2FA s’il est disponible. Par la suite, vous n’aurez plus à y penser.
Un générateur qui propose les deux modes (aléatoire + passphrase) avec options de caractères configurables permet de s’adapter à n’importe quelle règle de site en 10 secondes. Si vous rencontrez un refus, basculez simplement vers l’autre mode ou ajustez les options : la sécurité est préservée, la compatibilité résolue. Sur les sites au formulaire d’inscription saturé de pubs et de pop-ups, un blocage propre évite les saisies fantômes — voyez notre comparatif des adblockers selon la protection des données pour choisir le bon.
Questions fréquentes
Les accents (é, à, ç) dans un mot de passe sont-ils une bonne idée ?
Non. Les accents sont encore mal gérés par beaucoup de sites, surtout sur les applications mobiles avec un clavier différent. Restez à l’ASCII imprimable (0x20 à 0x7E) : 95 caractères, largement suffisant pour 131 bits d’entropie en 20 caractères.
Un emoji dans un mot de passe augmente-t-il la sécurité ?
Techniquement oui (chaque emoji ajoute beaucoup de bits), mais compatibilité nulle : 95 % des sites les refusent. À éviter sauf exception (comme votre passphrase de déverrouillage téléphone, stocké localement).
Comment tester si un site accepte vraiment mon mot de passe fort avant de m’inscrire ?
Si l’inscription passe mais la connexion suivante échoue, le site a silencieusement tronqué votre mot de passe. Pour tester : inscrivez-vous, déconnectez-vous immédiatement, puis reconnectez-vous avec le mot de passe complet. Si ça plante, le site tronque — dans ce cas, testez avec un mot de passe de 10 caractères alphanumériques purs, c’est souvent la limite qu’ils acceptent réellement.