Vérificateur de Robustesse de Mot de Passe
Testez la robustesse d'un mot de passe : entropie, temps de cassage estimé et une liste de contrôle claire, le tout vérifié localement dans votre navigateur.
Chargement de Vérificateur de Robustesse de Mot de Passe… Si rien ne se passe, activez JavaScript.
Un vérificateur de robustesse de mot de passe estime la difficulté à deviner un mot de passe. Celui-ci mesure l'entropie du mot de passe en bits, la convertit en un temps estimé pour qu'un attaquant hors ligne le casse et affiche une liste de contrôle claire de ce qui est bon et de ce qui manque. Il se met à jour à mesure que vous tapez et fonctionne entièrement dans votre navigateur, de sorte que le mot de passe que vous testez n'est jamais transmis ni stocké nulle part.
Questions fréquentes
Mon mot de passe est-il envoyé quelque part ?
Que signifie « entropie en bits » ?
Pourquoi une longue phrase de passe est-elle souvent plus robuste qu'un mot de passe court et complexe ?
Comment le temps de cassage est-il estimé ?
Le vérificateur indique que mon mot de passe est robuste. Puis-je le réutiliser sans risque ?
Pourquoi les suites et les répétitions sont-elles pénalisées ?
À propos de Vérificateur de Robustesse de Mot de Passe
La robustesse tient surtout à l'entropie, et non au fait de cocher des cases. L'entropie se calcule à partir de la longueur du mot de passe et de la taille du jeu de caractères dans lequel il puise (les minuscules ajoutent 26 possibilités par caractère, les majuscules 26 autres, les chiffres 10 et les symboles environ 33). Plus long l'emporte sur plus complexe : une longue phrase de passe composée de mots ordinaires a généralement plus d'entropie, et est bien plus facile à retenir, qu'une courte chaîne de symboles aléatoires. Le vérificateur pénalise aussi les faiblesses que l'entropie brute ignore, comme le fait d'être un mot de passe courant connu, de contenir une suite directe telle que 'abc' ou '123', ou de répéter le même caractère trois fois ou plus.
L'estimation du temps de cassage suppose une attaque hors ligne réaliste d'environ dix milliards d'essais par seconde contre un hachage rapide. C'est un repère utile, mais considérez-le comme un ordre de grandeur plutôt que comme une promesse : un hachage lent comme bcrypt rend les attaques bien plus lentes, tandis qu'une base de données en clair divulguée rend tout mot de passe sans valeur. La meilleure habitude à elle seule reste un mot de passe long et unique par site, idéalement généré et conservé par un gestionnaire de mots de passe.
Le conseil sur les mots de passe qui a changé
Pendant des années, les recommandations officielles ont imposé des règles de complexité : au moins une lettre majuscule, un chiffre, un symbole et un changement obligatoire tous les 90 jours. En 2017, l'Institut national des normes et de la technologie des États-Unis (NIST) en a renversé une grande partie dans sa Special Publication 800-63B. Les recherches ont montré que la complexité imposée poussait les gens vers des motifs prévisibles comme 'Password1!' et que l'expiration programmée les amenait à choisir des variantes plus faibles et incrémentielles.
La recommandation moderne est plus simple : privilégier la longueur, autoriser les longues phrases de passe et les espaces, comparer les nouveaux mots de passe à des listes de ceux déjà divulgués, et cesser d'imposer des changements de routine sauf en cas d'indice de compromission. La célèbre bande dessinée xkcd 'correct horse battery staple' avait capté l'idée des années plus tôt : quatre mots courants aléatoires sont faciles à retenir pour un humain et difficiles à deviner pour un ordinateur, et c'est tout l'enjeu.