BrowserTools
Publicité
Accueil / Générateurs / Générateur de mots de passe et de phrases de passe

Générateur de mots de passe et de phrases de passe

Générez localement des mots de passe aléatoires robustes et des phrases de passe mémorisables, entièrement personnalisables.

Chargement de Générateur de mots de passe et de phrases de passe… Si rien ne se passe, activez JavaScript.

Des mots de passe robustes et uniques constituent la protection la plus efficace qui soit contre les détournements de comptes et les attaques par bourrage d'identifiants. La robustesse d'un mot de passe se mesure en entropie, c'est-à-dire essentiellement le nombre de bits imprévisibles qu'un attaquant doit deviner. Cet outil génère des mots de passe cryptographiquement aléatoires et des phrases de passe faciles à retenir entièrement dans votre navigateur, à l'aide de `window.crypto.getRandomValues` de la Web Crypto API, qui puise dans le pool d'entropie du système d'exploitation et convient aux applications critiques en matière de sécurité.

Questions fréquentes

Les mots de passe générés sont-ils parfois envoyés à un serveur ?
Non. Chaque mot de passe ou phrase de passe est généré entièrement à l'intérieur de votre navigateur à l'aide de la Web Crypto API. Le résultat ne quitte jamais votre appareil et aucune requête réseau n'est associée à l'étape de génération.
Quel générateur de nombres aléatoires est utilisé en coulisses ?
L'outil appelle `crypto.getRandomValues`, un générateur de nombres pseudo-aléatoires cryptographiquement sûr (CSPRNG) intégré à tous les navigateurs modernes. Il s'initialise à partir des sources d'entropie du système d'exploitation, telles que les interruptions matérielles et le bruit de synchronisation, ce qui rend sa sortie imprévisible et non reproductible.
Quelle est la robustesse d'un mot de passe aléatoire de 16 caractères ?
Un mot de passe de 16 caractères tiré d'un jeu ASCII imprimable de 94 caractères possède environ 105 bits d'entropie. À mille milliards de tentatives par seconde, bien au-delà de ce que tout matériel actuel parvient à atteindre contre un mot de passe correctement haché, il faudrait plus que l'âge de l'univers pour le casser par force brute.
Quand dois-je utiliser une phrase de passe plutôt qu'un mot de passe ?
Utilisez une phrase de passe lorsque vous devez mémoriser le secret, par exemple le mot de passe maître de votre gestionnaire de mots de passe ou une clé de chiffrement d'appareil. Une phrase de passe de 5 mots tirée d'une liste de 7776 mots (la norme Diceware) fournit environ 64 bits d'entropie et est bien plus facile à retenir qu'une chaîne de caractères aléatoire de robustesse équivalente.
Comment cela se compare-t-il à la suggestion de mot de passe intégrée à mon navigateur ?
Les mots de passe générés par le navigateur sont eux aussi cryptographiquement aléatoires et tout aussi solides. L'avantage de cet outil réside dans la personnalisation : vous pouvez contrôler la longueur, les jeux de caractères, le nombre de mots, les caractères séparateurs et le fait de commencer ou non par le motif classique. Vous n'êtes pas non plus enfermé dans l'écosystème du gestionnaire de mots de passe d'un navigateur en particulier.
Que signifie réellement l'« entropie » pour un mot de passe ?
L'entropie mesure le nombre de possibilités également probables qu'un attaquant doit envisager. Chaque bit d'entropie supplémentaire double l'espace de recherche. Un mot de passe de 40 bits d'entropie compte environ mille milliards de valeurs possibles ; un mot de passe de 80 bits en compte à peu près un milliard de milliards. Une entropie plus élevée se traduit directement par un temps de cassage attendu plus long.
Puis-je générer des mots de passe pour des contextes de haute sécurité comme des clés de chiffrement ?
Pour des clés de chiffrement symétrique ou tout autre matériel cryptographique, vous devriez utiliser une fonction de dérivation de clé dédiée telle que PBKDF2 ou Argon2, et non un mot de passe textuel. Cet outil convient toutefois pour générer des phrases de passe robustes qui sont ensuite fournies à un KDF, ou pour créer des secrets aléatoires qui seront hachés avant leur stockage.
Quelle est l'erreur la plus courante lors de la génération de mots de passe ?
Choisir une longueur qui paraît grande mais qui est en réalité faible ; par exemple, un mot de passe de 8 caractères, même avec toutes les classes de caractères, possède moins de 53 bits d'entropie et peut être cassé hors ligne en quelques heures avec les configurations GPU modernes. La NIST recommande désormais un minimum de 15 à 20 caractères pour les comptes sensibles.
L'outil permet-il d'exclure les caractères ambigus comme O, 0, I et l ?
Oui. L'option d'exclusion des caractères ambigus supprime les caractères visuellement similaires qui provoquent des erreurs de transcription lorsque l'on saisit un mot de passe depuis un écran. Cette option est particulièrement utile lorsque vous devez lire le mot de passe à voix haute ou le saisir sur un appareil sans copier-coller.
Que se passe-t-il si je génère un mot de passe puis ferme l'onglet ?
Le mot de passe disparaît, l'outil ne conserve délibérément rien. C'est un atout : cela empêche que les identifiants soient récupérés depuis le stockage du navigateur, le stockage local ou les cookies. Copiez toujours le résultat immédiatement dans un gestionnaire de mots de passe avant de quitter la page.

À propos de Générateur de mots de passe et de phrases de passe

Les développeurs utilisent des générateurs de mots de passe robustes pour initialiser des environnements de test, créer des clés d'API ou provisionner les identifiants initiaux de nouveaux comptes. Les entreprises s'en remettent à eux lors des processus d'intégration. Les utilisateurs au quotidien en profitent lors de la création de nouveaux comptes, en particulier sur les sites qui n'imposent pas de politiques de mots de passe robustes. Un mot de passe aléatoire de 16 caractères est infiniment plus solide qu'un mot de passe mémorisable mais prévisible comme "Summer2024!".

Cet outil fonctionne entièrement côté client. Dès que vous cliquez sur Générer, le résultat est calculé dans l'onglet de votre navigateur et n'est jamais transmis où que ce soit. Il n'y a aucun crochet d'analyse sur l'événement de génération, aucune journalisation et aucune intervention de serveur d'aucune sorte. Vous choisissez le jeu de caractères, majuscules, minuscules, chiffres, symboles, ainsi que la longueur, et l'outil assemble un mot de passe au moyen d'une sélection aléatoire cryptographiquement sûre à partir de ce jeu.

La NIST Special Publication 800-63B recommande de privilégier la longueur du mot de passe plutôt que sa complexité. Une phrase de passe de 4 à 6 mots tirée d'un grand dictionnaire (l'approche dite "correct-horse-battery-staple", popularisée par la bande dessinée XKCD) peut dépasser 60 bits d'entropie tout en restant mémorisable, souvent plus solide qu'un mot de passe court bourré de symboles. Utilisez des mots de passe aléatoires lorsque vous stockez des identifiants dans un gestionnaire de mots de passe, et n'envisagez les phrases de passe que pour les secrets que vous devez saisir de mémoire, comme votre mot de passe maître ou le code PIN de déverrouillage de votre appareil.

Des cadenas mécaniques à combinaison à l'entropie cryptographique : une brève histoire des mots de passe

Le mot « mot de passe » précède les ordinateurs de plusieurs millénaires, les sentinelles romaines utilisaient des mots de reconnaissance pour authentifier leurs alliés dans l'obscurité. Les mots de passe numériques sont apparus dans les années 1960 avec le Compatible Time-Sharing System (CTSS) du MIT, où Fernando Corbató introduisit des mots de passe par utilisateur afin de garder privés les fichiers de recherche. À ces débuts, les mots de passe étaient stockés en clair, et la première fuite de mots de passe connue survint presque aussitôt, lorsqu'un collègue imprima par accident l'intégralité du fichier de mots de passe.

La pratique consistant à hacher les mots de passe pour les protéger lors du stockage fut formalisée dans le système Unix crypt en 1976, qui utilisait un algorithme DES modifié. Cela posa les bases du principe moderne selon lequel même les administrateurs système ne devraient jamais voir votre mot de passe. Au cours des décennies suivantes, la puissance de calcul croissante a constamment érodé la sécurité des mots de passe courts, faisant passer les recommandations de longueur minimale de 6 caractères dans les années 1980, à 8 dans les années 2000, jusqu'aux 15 à 20 caractères recommandés aujourd'hui par la NIST.

Le concept de phrase de passe "correct-horse-battery-staple" a été popularisé par la bande dessinée XKCD 936 de Randall Munroe en 2011, qui démontrait visuellement que quatre mots courants choisis au hasard produisent plus d'entropie qu'un mot de passe plus court et truffé de symboles tel que les gens en construisent généralement. La bande dessinée est devenue virale parmi les professionnels de la sécurité et a influencé la révision de 2017 de la SP 800-63B de la NIST, qui a explicitement déclassé les règles de complexité obligatoires au profit de la longueur et a déconseillé les rotations de mots de passe forcées et fréquentes, une pratique dont la recherche a montré qu'elle conduisait les utilisateurs à effectuer des modifications prévisibles et progressives plutôt que des mots de passe véritablement plus solides.

Publicité
Publicité
Publicité