Français
Générez des mots de passe aléatoires solides avec classes de caractères ajustables.
Dernière mise à jour
Un générateur de mots de passe produit des mots de passe aléatoires bien plus difficiles à deviner que ceux qu'on choisit soi-même. Développeurs et apprenants s'en servent pour leurs comptes de test, leurs interfaces d'administration, leurs identifiants de base de données, leurs inscriptions à des dashboards, leurs secrets de CI ou simplement pour leur propre hygiène de sécurité.
L'idée centrale, c'est l'*entropie* — à quel point un mot de passe est imprévisible. Plus un mot de passe est long et imprévisible, plus il est solide, et de très loin, même si à l'œil deux mots de passe paraissent tout aussi aléatoires. Un mot de passe unique par compte, stocké dans un gestionnaire de mots de passe fiable, élimine la majorité des risques liés à la réutilisation.
Un vrai générateur doit puiser son aléa dans une source cryptographiquement sûre : window.crypto.getRandomValues côté navigateur, secrets en Python, crypto.randomBytes en Node.js. Tout ce qui repose sur Math.random() ou un simple générateur basé sur l'heure est suffisamment prévisible pour être attaqué.
@ à la place de a — un mot de passe de 20 caractères en minuscules bat un mot de passe de 10 caractères avec symboles.window.crypto, jamais de Math.random().Visez au moins 16 caractères pour les comptes importants, 20 ou plus pour les accès admin ou root. La longueur l'emporte sur tout le reste.
Activez minuscules, majuscules, chiffres et symboles pour un résultat maximal. Si vous devez dicter le mot de passe à voix haute ou le copier d'un système à l'autre, vous pouvez désactiver les symboles.
Activez l'option qui écarte O / 0 et l / 1 / I si le mot de passe risque d'être lu à voix haute ou tapé à la main.
L'indicateur estime le temps qu'il faudrait pour casser le mot de passe par force brute. Tout ce qui se situe dans la tranche la plus élevée convient pour des comptes personnels.
Copiez le mot de passe dans un gestionnaire fiable — jamais dans un chat, un mail ou un post-it. Et ne le réutilisez pas sur un autre compte.
Temps approximatif de force brute en supposant 10 milliards d'essais par seconde — un cracking offline moderne. À utiliser comme repère pour choisir la longueur. Références officielles : NIST SP 800-63B et OWASP Authentication Cheat Sheet.
| Longueur | Jeu de caractères | Robustesse approximative |
|---|---|---|
| 8 | minuscules + chiffres (36 caractères) | Cassé en quelques secondes |
| 10 | minuscules + majuscules + chiffres (62) | Cassé en quelques heures |
| 12 | minuscules + majuscules + chiffres + symboles (94) | De quelques jours à quelques semaines |
| 16 | minuscules + majuscules + chiffres + symboles | Plusieurs siècles |
| 20 | minuscules + majuscules + chiffres + symboles | Incassable en pratique aujourd'hui |
| 4 mots | Phrase de passe avec mots aléatoires (correct horse battery staple) | Plusieurs siècles — plus facile à mémoriser |
Longueur : 20 · Minuscules : oui · Majuscules : oui · Chiffres : oui · Symboles : oui
B7$kP2wM!hG9eV4rT&xQ
Un défaut pragmatique pour les dashboards, les applis web et la plupart des comptes personnels. 20 caractères mêlant les quatre classes sont aujourd'hui considérés comme incassables en pratique.
f7Bk2pQz
f7Bk2pQzM!eV9rT&hG3wXn$L
Le mot de passe court utilise exactement les mêmes classes de caractères, mais il est plus faible de plusieurs ordres de grandeur. La longueur gagne presque toujours.
lantern-vivid-comet-nimbus-quartz
Cinq mots aléatoires sans rapport entre eux offrent à peu près la même robustesse qu'un mot de passe aléatoire de 16 caractères, mais c'est beaucoup plus facile à taper, à dire et à retenir.
tower-citrus-bronze-quay-pear) peut être aussi solide qu'un mot de passe court bourré de symboles, et bien plus facile à manipuler.window.crypto.getRandomValues. Le mot de passe est créé localement et n'est jamais envoyé à un serveur.