Un générateur de mots de passe crée des mots de passe aléatoires et imprévisibles. Contrairement aux mots de passe choisis par l'humain, un vrai générateur utilise un Générateur de Nombres Pseudo-Aléatoires Cryptographiquement Sécurisés (CSPRNG) pour sélectionner aléatoirement des caractères dans un pool spécifié, évitant les modèles humains prévisibles (nom+anniversaire, séquences clavier comme qwerty, entreprise+année), réduisant drastiquement le risque d'attaques par dictionnaire et de bourrage d'identifiants.
**Pourquoi pas Math.random() ?** Les PRNG généraux ont un état interne qui peut être rétro-conçu à partir de petites sorties, permettant aux attaquants de prédire les futurs nombres « aléatoires ». Cet outil utilise l'API Web Crypto du navigateur — soutenue par des CSPRNG au niveau OS (getrandom Linux, SecRandomCopyBytes macOS, BCryptGenRandom Windows) qui passent les tests d'aléatoire cryptographique.
**L'entropie est au cœur de la force du mot de passe** : Entropie = log₂(N^L) bits, où N = taille du pool de caractères et L = longueur. Un mot de passe de 16 caractères parmi 94 caractères ASCII imprimables a ~104 bits — en moyenne 2¹⁰³ essais pour le craquer, soit environ 200 milliards d'années à 1 billion d'essais/sec.
**Les phrases de passe** faites de plusieurs mots choisis aléatoirement (comme Brave-Cloud-Star42) semblent « plus simples » mais atteignent plus de 60 bits quand les mots sont véritablement aléatoires — suffisant pour la plupart des scénarios, et beaucoup plus faciles à mémoriser que les mots de passe à caractères aléatoires. C'est l'approche Diceware / XKCD #936.
Tous les mots de passe sont générés localement dans votre navigateur sans aucun envoi. L'outil fournit également une détection de force : calcul d'entropie, estimation du temps de force brute et détection de modèles faibles (caractères répétés, chiffres/lettres séquentiels, correspondance de mots de passe courants).