Que signifient les scores de 0 à 4 ?

L'échelle 0-4 correspond au temps de cassage : - **Score 0** : cassé instantanément (secondes) - **Score 1** : faible (heures) - **Score 2** : correct (en ligne OK, hors ligne 1 à 7 jours) - **Score 3** : robuste (en ligne incassable, hors ligne 1 an et plus) - **Score 4** : très robuste (hors ligne >100 ans) **Objectif** : comptes ordinaires **3 et plus**, banque / mot de passe maître **4**.

C'est quoi les « quatre scénarios de cassage » ?

Quatre modèles de menace avec des vitesses d'attaque différentes : - **En ligne avec throttle** : le service a un rate-limit (« 3 erreurs = verrouillage 5 min »), attaquants 100/heure - **En ligne sans throttle** : pas de limite, 10/s - **Hors ligne hash lent** : les attaquants ont une BDD de hashs **bcrypt/argon2**, 10 000/s sur CPU - **Hors ligne hash rapide** : hashs **MD5/SHA-1** + cluster GPU, 10 milliards/s **Ton mot de passe doit survivre aux 4** : regarde le pire des temps.

zxcvbn comprend-il les mots de passe en français ?

**Partiellement**. La liste des mots de passe populaires est **globale** (avec quelques entrées non anglophones). Les **dictionnaires sont anglais**, donc les noms propres ou mots français **ne seront pas détectés**. **Règle pratique** : pour les mots de passe en français, **retire 1 point au score** (zxcvbn 4 = 3 en réalité face à une attaque par dictionnaire localisé).

Le mot de passe arrive-t-il au serveur ?

**Non**. zxcvbn-ts est une bibliothèque JS embarquée dans le navigateur, **toute l'analyse côté client**. Les dictionnaires sont locaux aussi (environ 200 KB chargés à la première analyse). **DevTools → Network** = aucune requête avec le mot de passe.

Mon gestionnaire de mots de passe dit qu'il est robuste mais vous dites faible, pourquoi ?

La plupart des gestionnaires (1Password, Bitwarden, Trousseau) affichent les **bits d'entropie** ou une analyse maison plus simple. Les bits d'entropie **supposent l'aléatoire** (surestimation énorme pour des mots de passe non aléatoires). **zxcvbn est plus strict** : il repère les motifs, ne fait pas confiance à la longueur. « azertyuiop12345 » paraît long-et-fort avec une analyse simple ; sous zxcvbn = séquence clavier détectée + chiffres = **faible**. **Fais confiance à zxcvbn**.

Score 4 = mot de passe parfait ?

**Score 4** = suffisamment robuste contre les attaques actuelles (2024-2026). **Pas parfait** : c'est le plafond de l'échelle zxcvbn. **Un mot de passe vaut autant que l'endroit où tu l'utilises** : un même score 4 sur 5 services = une brèche compromet tout. **Règle** : chaque compte = **mot de passe unique**, chacun **score 3 et plus**, critique (banque, e-mail, gestionnaire) **score 4**.

Comment faire monter le score d'un mot de passe faible ?

**Étape 1** : applique les suggestions de zxcvbn (qui pointent la cause précise). En général : **plus long** (6 mots et plus pour une phrase secrète, 16 caractères et plus pour aléatoire), **mélange alphabets et chiffres SANS placement prévisible** (pas « Password2024 », plutôt quelque chose de plus aléatoire). **Étape 2** : regénère depuis zéro avec le [générateur de mots de passe](/fr/generateur-de-mots-de-passe) ou le [générateur de phrase secrète](/fr/generateur-de-phrase-secrete). **Toute phrase secrète aléatoire de 6 mots atteint le score 4 automatiquement**.

Test force mot de passe - gratuit

Comment vérifier si mon mot de passe est vraiment robuste ?

Tape un mot de passe et obtiens un score de 0 à 4 (de « Très faible » à « Très robuste ») accompagné d'une explication concrète du POURQUOI.

Contrairement à un simple compteur d'entropie, zxcvbn (la bibliothèque de Dropbox) détecte les motifs : mots du dictionnaire, années de naissance, parcours clavier (azerty), répétitions, leetspeak (P@ssw0rd), noms de famille.

Affiche le temps de cassage dans 4 scénarios (en ligne avec rate limiting, en ligne sans, hors ligne contre bcrypt, hors ligne contre MD5 + GPU). Tout est local, le mot de passe ne quitte jamais le navigateur.

Comment l'utiliser

Tape le mot de passe : le champ est masqué (points). Clique sur l'icône en forme d'œil pour le révéler.
Lis le résultat en direct : la barre colorée affiche 0 à 4 (rouge → vert).
Regarde la section « Motifs détectés » : zxcvbn indique QUELLE portion est un mot du dictionnaire, QUELLE portion est une année de naissance, QUELLE portion est une séquence clavier.
Applique les « Suggestions » de la bibliothèque : « Ajoute un mot de plus », « Évite les années », « Mélange les casses ». Chaque suggestion fait monter le score.
Objectif : score=4 (« Très robuste ») + aucun avertissement. Temps de cassage hors-ligne rapide >100 ans = pratiquement incassable.

Quand c'est utile

Cinq situations typiques où une évaluation de robustesse t'évite une catastrophe :

Audit de tes propres mots de passe. Vérifie chaque mot de passe de ton gestionnaire, en commençant par les plus faibles.
Politique d'entreprise. Teste des exemples de mots de passe contre tes règles ; vois si « 8 caractères minimum, majuscule, chiffre » produit vraiment des mots de passe robustes (souvent non : zxcvbn montrera que « Ete2024! » est faible malgré le respect des critères).
Sensibilisation d'équipe. Démontre qu'« un mot de passe que je viens d'inventer » a 30 bits d'entropie.
Onboarding d'un nouvel arrivant. Vérifie le mot de passe temporaire proposé avant la création du compte.
Mots de passe pour disques externes, archives ZIP, clés PGP. Chacun de ces mots de passe mérite un test rigoureux, car il n'est jamais à usage unique.

Après avoir trouvé un mot de passe faible, génère-en un robuste et vérifie qu'il n'a pas fuité.

Questions et réponses

L'entropie `longueur × log2(jeu de caractères)` suppose que le mot de passe est ALÉATOIRE. La plupart des mots de passe humains ne le sont PAS : « Ete2024! » semble faire 8 caractères = 53 bits, mais c'est en réalité un mot du dictionnaire + année + suffixe courant (environ 25 bits, cassé en quelques heures). zxcvbn reconnaît les motifs et donne une estimation réaliste. Il s'appuie sur plus de 30 000 mots de passe courants, des dictionnaires, des dates, des parcours clavier.

Comment vérifier si mon mot de passe est vraiment robuste ?

Tape un mot de passe et obtiens un score de 0 à 4 (de « Très faible » à « Très robuste ») accompagné d'une explication concrète du POURQUOI.

Comment l'utiliser

Tape le mot de passe : le champ est masqué (points). Clique sur l'icône en forme d'œil pour le révéler.

Lis le résultat en direct : la barre colorée affiche 0 à 4 (rouge → vert).

Regarde la section « Motifs détectés » : zxcvbn indique QUELLE portion est un mot du dictionnaire, QUELLE portion est une année de naissance, QUELLE portion est une séquence clavier.

Applique les « Suggestions » de la bibliothèque : « Ajoute un mot de plus », « Évite les années », « Mélange les casses ». Chaque suggestion fait monter le score.

Objectif : score=4 (« Très robuste ») + aucun avertissement. Temps de cassage hors-ligne rapide >100 ans = pratiquement incassable.

Quand c'est utile

Cinq situations typiques où une évaluation de robustesse t'évite une catastrophe :

Audit de tes propres mots de passe. Vérifie chaque mot de passe de ton gestionnaire, en commençant par les plus faibles.
Politique d'entreprise. Teste des exemples de mots de passe contre tes règles ; vois si « 8 caractères minimum, majuscule, chiffre » produit vraiment des mots de passe robustes (souvent non : zxcvbn montrera que « Ete2024! » est faible malgré le respect des critères).
Sensibilisation d'équipe. Démontre qu'« un mot de passe que je viens d'inventer » a 30 bits d'entropie.
Onboarding d'un nouvel arrivant. Vérifie le mot de passe temporaire proposé avant la création du compte.
Mots de passe pour disques externes, archives ZIP, clés PGP. Chacun de ces mots de passe mérite un test rigoureux, car il n'est jamais à usage unique.

Après avoir trouvé un mot de passe faible, génère-en un robuste et vérifie qu'il n'a pas fuité.

Questions et réponses

Test force mot de passe

Comment vérifier si mon mot de passe est vraiment robuste ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Générateur de mots de passe

Générateur passphrase

Vérification mot de passe compromis

Test force mot de passe

Comment vérifier si mon mot de passe est vraiment robuste ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Générateur de mots de passe

Générateur passphrase

Vérification mot de passe compromis