logo
GeekFormat

Générateur de mots de passe

0
Longueur du mot de passe
16chars
64
Jeux de caractères inclus
Génération par lot

Générateur de mots de passe en ligne gratuit utilisant le CSPRNG de Web Crypto pour des mots de passe aléatoires forts, des phrases de passe et des PIN. Détection de force, exclusion de caractères ambigus, export par lots. Généré localement dans le navigateur.

Recommandations connexes

Cas d'utilisation

  • Générez des mots de passe aléatoires forts pour de nouveaux comptes, vérifiez l'entropie et le temps de craquage
  • Générez par lots des identifiants temporaires pour des équipes ou des environnements de test
  • Générez des phrases de passe mémorisables pour les mots de passe Wi-Fi ou d'appareils
  • Configurez des PIN d'appareils, initialisez des comptes administrateur ou réinitialisez des mots de passe
  • Remplacez les mots de passe faibles créés par l'humain par des mots de passe aléatoires forts

Fonctionnalités

  • Génération CSPRNG : utilise Web Crypto du navigateur (crypto.getRandomValues) pour une alea cryptographiquement sécurisée
  • Trois modes : Mot de passe aléatoire, Phrase de passe mémorisable (combinaison de mots), PIN numérique
  • Indicateur de force complet : taille du pool de caractères, entropie, détection de mots de passe faibles, risque de caractères séquentiels/répétés, estimation du temps de force brute
  • Exclure les ambigus : ignorer optionnellement 0/O/1/l/I pour les scénarios de saisie manuelle
  • Génération par lots : générez 5/10/20 mots de passe à la fois avec téléchargement TXT
  • Uniquement local : toute la génération et l'analyse se font dans le navigateur, aucune donnée envoyée

Comment utiliser

  1. Sélectionnez le mode : Aléatoire, Phrase de passe ou PIN
  2. Configurez la longueur et les options de caractères (16+ recommandé), excluez optionnellement les caractères ambigus
  3. Vérifiez la force : entropie, estimation du temps de craquage, détection de mots de passe faibles
  4. Copiez ou exportez par lots en TXT pour l'inscription/la réinitialisation/la distribution

FAQ

Pourquoi utiliser Web Crypto API au lieu de Math.random() ?

Math.random() est un PRNG général non conçu pour les scénarios de sécurité — son état interne peut potentiellement être rétro-conçu. crypto.getRandomValues() utilise le CSPRNG au niveau du système d'exploitation, produisant une alea imprévisible adaptée aux mots de passe et clés.

Les mots de passe générés sont-ils envoyés à un serveur ?

Non. Tous les mots de passe sont générés localement dans votre navigateur. L'analyse de force, le calcul d'entropie et l'estimation du temps de craquage s'exécutent côté client. L'onglet Réseau des DevTools confirme zéro requête externe.

Quelle longueur doit avoir un mot de passe pour être sécurisé ?

Au moins 12 caractères avec majuscules, minuscules, chiffres et symboles. Un mot de passe aléatoire de 16 caractères prendrait des milliards d'années à craquer par force brute aux vitesses modernes. Voir le tableau des temps de craquage ci-dessus.

Mot de passe aléatoire ou phrase de passe mémorisable ?

Par caractère, les mots de passe aléatoires ont une entropie plus élevée. Mais les phrases de passe (4-6 mots véritablement aléatoires) atteignent plus de 60 bits d'entropie et sont beaucoup plus faciles à mémoriser. La clé est une sélection de mots véritablement aléatoire, pas des phrases inventées.

Pourquoi exclure les caractères ambigus (0/O/1/l/I) ?

Ceux-ci se ressemblent dans de nombreuses polices et causent des erreurs de saisie. Si les mots de passe sont tapés manuellement, dictés au téléphone ou imprimés, excluez-les. S'ils sont utilisés uniquement via un gestionnaire, gardez tous les caractères pour une entropie plus élevée.

La rotation des mots de passe est-elle plus sécurisée ?

Selon NIST SP 800-63B, la rotation régulière des mots de passe N'est PLUS recommandée sauf si une compromission est confirmée. La rotation forcée amène les utilisateurs à choisir des mots de passe faibles ou à les noter. Mieux : mots de passe aléatoires longs + gestionnaire + 2FA.

Qu'est-ce que l'entropie d'un mot de passe ?

L'entropie mesure l'imprévisibilité en bits. Entropie = log₂(taille_du_pool ^ longueur). Un mot de passe de 16 caractères parmi 94 caractères ASCII imprimables a ~104 bits, signifiant qu'un attaquant moyenne 2¹⁰³ essais — environ 200 milliards d'années à 1 billion d'essais/sec.

Qu'est-ce qu'un générateur de mots de passe sécurisé ?

Un générateur de mots de passe crée des mots de passe aléatoires et imprévisibles. Contrairement aux mots de passe choisis par l'humain, un vrai générateur utilise un Générateur de Nombres Pseudo-Aléatoires Cryptographiquement Sécurisés (CSPRNG) pour sélectionner aléatoirement des caractères dans un pool spécifié, évitant les modèles humains prévisibles (nom+anniversaire, séquences clavier comme qwerty, entreprise+année), réduisant drastiquement le risque d'attaques par dictionnaire et de bourrage d'identifiants.

**Pourquoi pas Math.random() ?** Les PRNG généraux ont un état interne qui peut être rétro-conçu à partir de petites sorties, permettant aux attaquants de prédire les futurs nombres « aléatoires ». Cet outil utilise l'API Web Crypto du navigateur — soutenue par des CSPRNG au niveau OS (getrandom Linux, SecRandomCopyBytes macOS, BCryptGenRandom Windows) qui passent les tests d'aléatoire cryptographique.

**L'entropie est au cœur de la force du mot de passe** : Entropie = log₂(N^L) bits, où N = taille du pool de caractères et L = longueur. Un mot de passe de 16 caractères parmi 94 caractères ASCII imprimables a ~104 bits — en moyenne 2¹⁰³ essais pour le craquer, soit environ 200 milliards d'années à 1 billion d'essais/sec.

**Les phrases de passe** faites de plusieurs mots choisis aléatoirement (comme Brave-Cloud-Star42) semblent « plus simples » mais atteignent plus de 60 bits quand les mots sont véritablement aléatoires — suffisant pour la plupart des scénarios, et beaucoup plus faciles à mémoriser que les mots de passe à caractères aléatoires. C'est l'approche Diceware / XKCD #936.

Tous les mots de passe sont générés localement dans votre navigateur sans aucun envoi. L'outil fournit également une détection de force : calcul d'entropie, estimation du temps de force brute et détection de modèles faibles (caractères répétés, chiffres/lettres séquentiels, correspondance de mots de passe courants).

术语表

CSPRNG
Générateur de Nombres Pseudo-Aléatoires Cryptographiquement Sécurisés. Produit des sorties imprévisibles qui passent des tests rigoureux d'aléatoire ; même en connaissant de nombreuses sorties passées, il ne révèle pas les futures.
Entropie du mot de passe
Mesure l'imprévisibilité en bits. Formule : log₂(N^L). Plus de 60 bits = sécurisé ; plus de 100 bits = extrêmement fort.
Attaque par force brute
Essayer toutes les combinaisons possibles de caractères. On s'en défend en utilisant des mots de passe aléatoires longs qui rendent les combinaisons physiquement indénombrables.
Attaque par dictionnaire
Utiliser des listes de mots de passe courants (123456, password, qwerty) pour deviner des identifiants. Beaucoup plus rapide que la force brute ; les mots de passe aléatoires sont immunisés.
Bourrage d'identifiants
Utiliser des paires utilisateur/mot de passe divulguées d'un site pour tenter de se connecter sur d'autres. On s'en défend avec des mots de passe uniques par site et en vérifiant sur Have I Been Pwned.
Phrase de passe
Un mot de passe fait de plusieurs mots aléatoires. Plus facile à mémoriser avec une entropie élevée quand les mots sont véritablement aléatoires (méthode Diceware).
Diceware
Méthode d'Arnold Reinhold de 1995 utilisant 5 lancers de dés pour choisir des mots dans une liste de 7776 mots. 6 mots Diceware ≈77 bits d'entropie.
NIST SP 800-63B
Directives d'identité numérique du NIST — la référence autoritaire pour la sécurité des mots de passe. Depuis 2017, elle ne recommande plus la rotation régulière ni les caractères spéciaux obligatoires, mettant l'accent sur la longueur, le filtrage des mots de passe divulgués et MFA.
2FA/MFA
Authentification à Deux Facteurs / Multi-Facteurs nécessite un second facteur au-delà du mot de passe (TOTP, clé matérielle). NIST recommande 2FA sur tous les comptes importants.
Liste noire des mots de passe divulgués
Listes de mots de passe compromis/courants publiquement connus (123456, password, admin, qwerty). NIST recommande de vérifier contre ces listes lors de l'inscription/du changement de mot de passe.

Longueur du mot de passe vs temps de craquage (maj+min+chiffres+symboles)

LongueurEntropie(bit)CombinaisonsTemps de craquage (1 billion/sec)Note
6 caractères~37~139 milliards< 1 seconde❌ Très faible
8 caractères~52~2.2×10¹⁴~2.5 jours❌ Faible
10 caractères~65~3.7×10¹⁸~116 ans⚠️ Moyen
12 caractères~78~6.1×10²²~1.9 million d'années✅ Fort
16 caractères~104~6.3×10³⁰~200 milliards d'années✅✅ Très fort
20 caractères~131~6.7×10³⁸Des billions de fois l'âge de l'univers✅✅✅ Incassable

Comparaison de trois modes de mot de passe

ModeExempleEntropie typiqueMémorisabilitéIdéal pour
Mot de passe aléatoirexK9#mP2$vL8@nQ4!~6.5bit/caractèreFaibleMots de passe maîtres pour gestionnaires, mots de passe BD, clés API
Phrase de passe mémorisableBrave-Cloud-Star42~10bit/motBonneMots de passe Wi-Fi, mots de passe de connexion nécessitant une saisie manuelle
PIN numérique4829173.3bit/chiffreBonneÉcran de verrouillage, PIN de carte bancaire, codes à usage unique

Authoritative References