- La longueur l'emporte sur la complexité. Visez 16 caractères ou plus, même en minuscules.
- Un mot de passe n'est fort que s'il est unique. Le réutiliser, même fort, reste dangereux.
- Évitez les prénoms, dates de naissance, équipes de hockey et tout ce qui figure sur vos réseaux sociaux.
- Combinez un générateur et un gestionnaire. Le générateur le rend aléatoire; le gestionnaire le rend utilisable.
La plupart de ce qu'on vous a appris sur les mots de passe est faux, ou du moins dépassé. Le conseil qui a produit P@ssw0rd1! semblait astucieux en 2008. Aujourd'hui, ça se casse en quelques secondes.
La bonne nouvelle, c'est que les règles modernes sont plus simples. La longueur compte plus que les caractères spéciaux. L'unicité compte plus que la complexité. Et le hasard compte plus que la mémorabilité.
Voici ce qui rend vraiment un mot de passe fort en 2026, et comment en construire un sans perdre la tête.
La longueur est la variable la plus importante
Chaque caractère ajouté à un mot de passe multiplie le temps nécessaire pour le casser. Le calcul est exponentiel, et il joue en votre faveur.
Un mot de passe de huit caractères utilisant minuscules, majuscules, chiffres et symboles a environ soixante dix mille billions de combinaisons possibles. Cela paraît beaucoup, jusqu'à ce qu'on se rappelle que les machines de cassage modernes testent des milliards de tentatives par seconde. Hive Systems publie un tableau annuel qui montre combien de temps tient chaque longueur de mot de passe sous attaque. Leur mise à jour 2025 montre qu'un mot de passe de huit caractères avec types mixtes tient environ trente sept secondes. Sa version à douze caractères tient plus de deux siècles.
C'est pourquoi tout guide de sécurité crédible commence par le même conseil: visez au moins 16 caractères. Plus, c'est mieux. Si vous tapez un mot de passe de mémoire, poussez à vingt.
Ajouter un caractère à un mot de passe utilisant un alphabet de 95 caractères multiplie l'espace de recherche par 95. Ajouter un caractère spécial à un mot de passe court bouge à peine l'aiguille.
L'unicité compte plus que la complexité
Le mot de passe le plus fort du monde est inutile si vous le réutilisez partout. Quand un petit site se fait pirater, votre courriel et votre mot de passe se retrouvent vendus sur des forums clandestins. Les attaquants tentent ensuite cette combinaison sur tous les services majeurs: banques, courriel, infonuagique, portails gouvernementaux.
Cela s'appelle le credential stuffing, et c'est aujourd'hui la cause la plus commune des prises de contrôle de comptes. Le rapport Verizon Data Breach Investigations Report 2024 indique que les identifiants volés sont impliqués dans environ 32% de toutes les violations confirmées. La plupart de ces identifiants viennent de la réutilisation, pas du cassage.
La solution est simple en théorie et pénible en pratique: chaque compte a besoin de son propre mot de passe. Ce qui rend cela réaliste, c'est le gestionnaire de mots de passe. Génération, stockage, remplissage automatique. Nous couvrons tout cela dans notre guide des gestionnaires de mots de passe pour les Canadiens.
Évitez tout ce qui est lié à votre vie
Le nom de votre chien. La date de naissance de votre enfant. La rue où vous avez grandi. Les Canadiens. Les Maple Leafs. Votre date d'anniversaire de mariage.
Aucun de ces éléments n'est un bon ingrédient. Tous figurent sur vos réseaux sociaux, souvent dans les premières publications visibles. Les attaquants qui mènent des campagnes ciblées récoltent ces données automatiquement et les injectent dans leurs outils de cassage.
Une étude Google et Harris Poll a constaté que 59% des adultes utilisent un nom ou une date dans leurs mots de passe. Les chiffres canadiens sont vraisemblablement similaires. Si vous vous reconnaissez, la solution est de basculer vers des mots de passe générés aléatoirement pour tout ce que vous n'avez pas besoin de retenir, et une longue phrase de passe aléatoire pour le reste.
Le mythe de la soupe de caractères
Les anciennes règles forçaient les utilisateurs à ajouter une majuscule, un chiffre et un symbole. Les utilisateurs ont fait la chose prévisible: majuscule au début, chiffre à la fin, point d'exclamation. Password1! est devenu le motif le plus cassé au monde.
NIST, l'institut américain de standardisation, s'est officiellement écarté de ces règles dans sa mise à jour 2024 de SP 800-63B. Recommandation actuelle: prioriser la longueur, autoriser tous les caractères imprimables y compris les espaces, cesser d'imposer des règles de composition prévisibles.
À retenir: une phrase de passe de 20 caractères tout en minuscules comme marbre saumon bouilloire dérive temps est plus forte que P@ssw0rd1!, et plus facile à taper. Nous développons cela dans phrase de passe vs mot de passe.
À quoi ressemble un vrai mot de passe fort
Pour les comptes que votre gestionnaire remplit automatiquement:
kRm9$xLp2!nQ7vYw3Bz#— aléatoire, 20 caractères, types mixtes4Hj7nQpRtWxYzL2mKbVc— aléatoire, 20 caractères, sans symboles (mieux pour les vieux systèmes)
Pour les comptes que vous devez taper de mémoire, comme votre gestionnaire lui même:
marbre saumon bouilloire dérive temps— cinq mots aléatoires, faciles à taper, très longchêne gelé rivière vingt érable chaise— six mots, encore plus fort
Les deux styles fonctionnent. Le premier est plus pratique quand quelque chose tape pour vous. Le second est essentiel quand votre cerveau est la seule clé.
Notre générateur de mots de passe crée un mot de passe fort et aléatoire directement dans votre navigateur. Rien n'est stocké ni transmis. Conçu pour respecter la LPRPDE et la Loi 25.
Le contexte canadien
Environ 43% des Canadiens disent avoir été touchés par une violation de la vie privée, selon les recherches du Commissariat à la protection de la vie privée 2024 à 2025. Bell Canada, Indigo, SickKids et le Registre des naissances de l'Ontario ont tous subi des incidents sérieux ces dernières années. La fuite de l'ARC en 2020, qui a utilisé le credential stuffing contre des comptes fiscaux ayant des mots de passe réutilisés et sans MFA, reste citée comme un cas d'école.
Pour un Canadien, une bonne hygiène des mots de passe n'est pas de la paranoïa. C'est suivre la réalité de ce qui se passe avec vos données.
L'installation minimale viable
Si vous ne faites rien d'autre ce mois ci:
- Choisissez un gestionnaire. Définissez une longue phrase de passe aléatoire comme mot de passe maître. Notez la quelque part de physique le temps de l'apprendre.
- Générez de nouveaux mots de passe uniques de 20 caractères pour votre courriel, votre banque et vos comptes gouvernementaux. Remplacez les anciens.
- Activez l'authentification à deux facteurs sur ces trois comptes. Nous expliquons comment dans qu'est ce que la 2FA et pourquoi l'activer.
Ce trio couvre l'essentiel du risque réaliste pour un utilisateur individuel. Tout le reste peut venir plus tard.