Le mot de passe atteint-il votre serveur à un moment donné ?

Non. La génération, la copie et l'historique de 5 éléments se passent entièrement dans ton navigateur. Ouvre DevTools > Network : tu ne verras aucune requête. L'historique est effacé au rechargement de la page.

Que signifient les bits d'entropie ?

L'entropie mesure le nombre de mots de passe possibles avec les réglages choisis. 60 bits ≈ 10^18 possibilités, 80 bits ≈ 10^24, 128 bits ≈ 10^38. Les attaques modernes par force brute viennent à bout de 50 bits en quelques heures ; à partir de 80 bits, c'est en pratique incassable.

Quelle longueur choisir ?

Minimum 12 caractères avec toutes les classes activées (environ 75 bits). 16 à 20 pour les comptes critiques (banque, e-mail principal, gestionnaire de mots de passe lui-même). 32 et plus pour les comptes système et les clés d'API. Au-delà de 20 caractères, la différence pratique est minime : la force brute est déjà infaisable.

Faut-il exclure les caractères qui se ressemblent ?

Seulement si tu vas dicter ou retaper le mot de passe à la main (l contre 1, O contre 0). Pour les mots de passe stockés dans un gestionnaire, laisse-les activés. Chaque exclusion réduit l'entropie.

Les rainbow tables raccourcissent-elles le temps de cassage ?

Pas pour les mots de passe aléatoires générés ici. Les rainbow tables sont des dictionnaires de mots de passe populaires ou courts avec leurs hashs précalculés : elles fonctionnent contre « qwerty123 », « Ete2024! », des prénoms, des dates. Un mot de passe aléatoire cryptographique de 12 caractères et plus n'est dans aucune table. En plus, les hashs salés (toute base de données moderne) neutralisent complètement les rainbow tables : l'attaquant doit calculer chaque hash depuis zéro, c'est-à-dire faire de la force brute classique, ce qui est exactement ce qu'on montre.

Et les attaques par dictionnaire ou les combinaisons de mots populaires ?

Elles ne s'appliquent pas non plus. Les attaques par dictionnaire testent des combos comme « Printemps2024! » : ton mot de passe aléatoire « Kx9$gF#pR2vZ » ne correspond à aucun motif. C'est pour ça qu'un aléatoire généré vaut toujours mieux qu'« un mot de passe robuste que j'ai inventé ».

YourDevToolsPro

Générateur de mots de passe

Crée des mots de passe forts, cryptographiquement aléatoires - entièrement dans ton navigateur.

LiveFonctionne dans ton navigateur

Mot de passe généréTrès faible · 0 tools.passwordGenerator.bits

Longueur du mot de passe16 tools.passwordGenerator.chars

616324864

Exclusions

Le mot de passe et l'historique de 5 items ne quittent jamais ton navigateur.

Générateur de mots de passe robustes qui choisit les caractères de manière cryptographique (Web Crypto API), uniquement dans ton navigateur. Le mot de passe ne quitte jamais ton onglet. Tu configures la longueur, les classes de caractères et les exclusions : le générateur affiche l'entropie en bits et te donne une chaîne prête à copier.

Comment générer un mot de passe

Règle la longueur avec le curseur : 12 à 16 caractères, c'est le minimum ; 20 et plus pour les comptes critiques.
Choisis les classes de caractères : minuscules, majuscules, chiffres, symboles. Plus il y a de classes, plus l'entropie est élevée.
Tu peux exclure les caractères qui se ressemblent (l, 1, I, O, 0). Utile si tu dois dicter ou retaper le mot de passe à la main.
Copie le mot de passe, enregistre-le dans un gestionnaire (1Password, Bitwarden, KeePassXC). Ne le stocke jamais dans un fichier texte en clair.
Le générateur garde les 5 derniers mots de passe en local et ne les envoie nulle part : recharge la page pour les effacer.

Cas d'usage

Nouveau compte bancaire, e-mail ou réseau social. Mot de passe pour un outil d'entreprise avec exigences de complexité. Mot de passe du Wi-Fi à la maison (long et statique). Clé d'API ou jeton de service. Partout où ton gestionnaire te propose « générer un nouveau ». Si tu préfères quelque chose de mémorisable (un mot de passe maître que tu dois taper à la main, par exemple), utilise plutôt le générateur de phrase secrète. Pour des codes purement numériques (PIN bancaires, coffres-forts), essaie le générateur de code PIN, et après avoir généré un mot de passe, fais-le passer dans le vérificateur de mot de passe compromis pour t'assurer qu'il n'est jamais apparu dans une brèche.

Questions fréquentes

Oui. On utilise la Web Crypto API (crypto.getRandomValues), qui fournit un générateur de nombres aléatoires cryptographiquement sûr. On applique en plus du rejection sampling pour éviter le biais modulo lors de la projection des nombres sur le jeu de caractères. Math.random N'est PAS utilisé.

Tu pourrais aussi aimer

Outils similaires

Vérification mot de passe compromis

Vérifie si ton mot de passe a fuité - sans jamais l'envoyer où que ce soit.

Hash de mots de passe : MD5, SHA, bcrypt

16 algorithmes de hachage : MD4, MD5, SHA, SHA-3, RIPEMD, MySQL, NTLM, HMAC, bcrypt - avec sel optionnel.