BrowserTools
Publicité
Accueil / Validateurs / Vérificateur de Robustesse de Mot de Passe

Vérificateur de Robustesse de Mot de Passe

Testez la robustesse d'un mot de passe : entropie, temps de cassage estimé et une liste de contrôle claire, le tout vérifié localement dans votre navigateur.

Chargement de Vérificateur de Robustesse de Mot de Passe… Si rien ne se passe, activez JavaScript.

Un vérificateur de robustesse de mot de passe estime la difficulté à deviner un mot de passe. Celui-ci mesure l'entropie du mot de passe en bits, la convertit en un temps estimé pour qu'un attaquant hors ligne le casse et affiche une liste de contrôle claire de ce qui est bon et de ce qui manque. Il se met à jour à mesure que vous tapez et fonctionne entièrement dans votre navigateur, de sorte que le mot de passe que vous testez n'est jamais transmis ni stocké nulle part.

Questions fréquentes

Mon mot de passe est-il envoyé quelque part ?
Non. Toute l'analyse s'exécute localement dans votre navigateur avec JavaScript. Votre mot de passe n'est jamais transmis, journalisé ni stocké, ce qui est précisément la raison pour laquelle un vérificateur de robustesse doit s'exécuter côté client. Vous pouvez vous déconnecter d'internet et il continue de fonctionner.
Que signifie « entropie en bits » ?
L'entropie mesure le nombre d'essais qu'un attaquant devrait effectuer en moyenne. Chaque bit supplémentaire double ce nombre. Elle se calcule comme la longueur du mot de passe multipliée par le logarithme en base 2 de la taille du jeu de caractères. À titre indicatif, moins de 28 bits est très faible, environ 60 bits est raisonnable, et 80 bits ou plus est robuste face aux attaques hors ligne.
Pourquoi une longue phrase de passe est-elle souvent plus robuste qu'un mot de passe court et complexe ?
Parce que la longueur contribue à l'entropie de façon plus fiable que les caractères spéciaux. Quatre ou cinq mots aléatoires peuvent dépasser 60 bits d'entropie tout en restant faciles à retenir, alors qu'un court 'P@ss1' a à la fois une faible entropie et est difficile à mémoriser. La longueur est le plus grand levier que vous contrôlez.
Comment le temps de cassage est-il estimé ?
On suppose qu'un attaquant hors ligne tente environ dix milliards d'essais par seconde contre un hachage rapide, puis on divise le nombre de combinaisons possibles par ce débit. C'est une estimation à l'ordre de grandeur. Un hachage de mot de passe lent (bcrypt, scrypt, Argon2) rend les attaques réelles considérablement plus lentes, et les services en ligne limitent généralement la fréquence des essais.
Le vérificateur indique que mon mot de passe est robuste. Puis-je le réutiliser sans risque ?
Non. La robustesse ne protège que contre la devinette. Si vous réutilisez un mot de passe et qu'un seul site est compromis, les attaquants essaieront ce même mot de passe partout (bourrage d'identifiants). Utilisez un mot de passe unique pour chaque compte, quelle que soit la robustesse de chacun.
Pourquoi les suites et les répétitions sont-elles pénalisées ?
Les attaquants ne devinent pas au hasard ; ils essaient d'abord les dictionnaires, les motifs du clavier et les substitutions prévisibles. 'abc123' ou 'aaa' offrent une robustesse réelle bien inférieure à ce que suggère leur nombre brut de caractères, c'est pourquoi le vérificateur abaisse leur score afin de refléter la manière dont un attaquant s'y prendrait réellement.

À propos de Vérificateur de Robustesse de Mot de Passe

La robustesse tient surtout à l'entropie, et non au fait de cocher des cases. L'entropie se calcule à partir de la longueur du mot de passe et de la taille du jeu de caractères dans lequel il puise (les minuscules ajoutent 26 possibilités par caractère, les majuscules 26 autres, les chiffres 10 et les symboles environ 33). Plus long l'emporte sur plus complexe : une longue phrase de passe composée de mots ordinaires a généralement plus d'entropie, et est bien plus facile à retenir, qu'une courte chaîne de symboles aléatoires. Le vérificateur pénalise aussi les faiblesses que l'entropie brute ignore, comme le fait d'être un mot de passe courant connu, de contenir une suite directe telle que 'abc' ou '123', ou de répéter le même caractère trois fois ou plus.

L'estimation du temps de cassage suppose une attaque hors ligne réaliste d'environ dix milliards d'essais par seconde contre un hachage rapide. C'est un repère utile, mais considérez-le comme un ordre de grandeur plutôt que comme une promesse : un hachage lent comme bcrypt rend les attaques bien plus lentes, tandis qu'une base de données en clair divulguée rend tout mot de passe sans valeur. La meilleure habitude à elle seule reste un mot de passe long et unique par site, idéalement généré et conservé par un gestionnaire de mots de passe.

Le conseil sur les mots de passe qui a changé

Pendant des années, les recommandations officielles ont imposé des règles de complexité : au moins une lettre majuscule, un chiffre, un symbole et un changement obligatoire tous les 90 jours. En 2017, l'Institut national des normes et de la technologie des États-Unis (NIST) en a renversé une grande partie dans sa Special Publication 800-63B. Les recherches ont montré que la complexité imposée poussait les gens vers des motifs prévisibles comme 'Password1!' et que l'expiration programmée les amenait à choisir des variantes plus faibles et incrémentielles.

La recommandation moderne est plus simple : privilégier la longueur, autoriser les longues phrases de passe et les espaces, comparer les nouveaux mots de passe à des listes de ceux déjà divulgués, et cesser d'imposer des changements de routine sauf en cas d'indice de compromission. La célèbre bande dessinée xkcd 'correct horse battery staple' avait capté l'idée des années plus tôt : quatre mots courants aléatoires sont faciles à retenir pour un humain et difficiles à deviner pour un ordinateur, et c'est tout l'enjeu.

Publicité
Publicité
Publicité