Qu'est-ce que crypto.getRandomValues et pourquoi est-ce important ?

crypto.getRandomValues est une API Web Crypto intégrée à tous les navigateurs modernes. Elle produit des nombres aléatoires cryptographiquement sécurisés en utilisant la source d'entropie de votre système d'exploitation, ce qui la rend bien supérieure à Math.random() à des fins de sécurité. Tous les gestionnaires de mots de passe importants utilisent la même API.

Quelle est la différence entre un mot de passe et une phrase-clé ?

Un mot de passe est une chaîne de caractères aléatoires (par ex., 'kX9#mZp2'). Une phrase-clé est une séquence de mots aléatoires (par ex., 'cheval-correct-batterie-agrafeur'). Les phrases-clés sont plus faciles à mémoriser et à taper tout en offrant une excellent sécurité. Une phrase-clé de 4 mots a à peu près la même entropie qu'un mot de passe aléatoire de 10 caractères.

Comment le temps de cassage est-il calculé ?

Le temps de cassage est estimé en supposant qu'un attaquant effectue 10 milliards de suppositions par seconde (un cluster GPU haut de gamme). Le nombre total de mots de passe possibles est divisé par ce taux. Par exemple, un mot de passe de 16 caractères mélangé a environ 4 × 10^31 combinaisons, qui à 10 milliards de suppositions par seconde prendraient plus d'un billion d'années.

Pourquoi exclure les caractères ambigus ?

Les caractères ambigus comme 0/O, 1/l/I et 2/Z se ressemblent dans de nombreuses polices, ce qui peut causer une confusion lors de la lecture ou de la saisie manuelle de mots de passe. Les exclure est utile quand vous avez besoin d'écrire ou de dicter un mot de passe. Pour les mots de passe stockés dans un gestionnaire, incluez tous les caractères pour une entropie maximale.

Puis-je utiliser ce générateur de mots de passe hors ligne ?

Oui. Comme la génération de mots de passe se fait entièrement dans votre navigateur en utilisant JavaScript et l'API Web Crypto, l'outil fonctionne sans connexion Internet une fois la page chargée. Aucun appel serveur n'est effectué lors de la génération de mots de passe.

Un code PIN de 4 chiffres est-il sécurisé ?

Un code PIN de 4 chiffres n'a que 10 000 combinaisons possibles, ce qui est très faible contre les attaques hors ligne. Cependant, les codes PIN sont généralement utilisés avec des mécanismes de verrouillage (par ex., 3 tentatives échouées verrouille l'appareil), ce qui les rend adéquats pour les téléphones et les cartes bancaires. Pour tout ce qui n'a pas de protection par verrouillage, utilisez un code PIN de 6 à 8 chiffres ou un mot de passe complet.

Générateur de mots de passe

Générez des mots de passe forts et aléatoires instantanément. Entièrement côté client — rien ne quitte votre navigateur.

100 % côté client Pas d'inscription Instantané

Longueur 16

Majuscules A–Z

Minuscules a–z

Nombres 0–9

Symboles !@#$%^&*()

Exclure ambiguë O 0 I l 1 |

Mots 4

Séparateur

Capitaliser les mots Première lettre en majuscule

Inclure un nombre Ajouter un nombre aléatoire entre les mots

Longueur 6

Nombre :

Généré entièrement dans votre navigateur en utilisant crypto.getRandomValues(). Rien n'est envoyé à aucun serveur.

Comment utiliser le générateur de mots de passe

Choisissez votre mode

Sélectionnez Aléatoire pour les mots de passe basés sur des caractères, Phrase-clé pour les mots de passe basés sur des mots, ou Code PIN pour les codes numériques.

Ajustez les paramètres

Définissez la longueur souhaitée, activez ou désactivez les types de caractères, et choisissez des présets pour les longueurs courantes.

Copier et utiliser

Votre mot de passe se génère instantanément. Cliquez sur Copier pour l'enregistrer dans votre presse-papiers, ou régénérez-le pour en obtenir un nouveau.

Qu'est-ce qui rend un mot de passe fort ?

Selon la norme NIST SP 800-63B (2024) et les directives du CISA, la force d'un mot de passe dépend de trois facteurs : longueur, aléatoire et unicité. Les normes fédérales mises à jour ont abandonné les règles de complexité obligatoires (mélange de casse, caractères spéciaux) en faveur de mots de passe plus longs, car chaque caractère supplémentaire augmente exponentiellement la difficulté du forçage brut.

Voici 5 règles pour créer des mots de passe forts en 2026 :

Rendez-le long — 16 caractères minimum. Le NIST recommande maintenant au moins 15 caractères pour l'authentification à un seul facteur (SP 800-63B Rev. 4). Chaque caractère supplémentaire multiplie la difficulté du cassage de manière exponentielle.
Rendez-le aléatoire — Utilisez un générateur de mots de passe. Les humains sont terribles pour l'aléatoire — nous avons tendance à graviter vers les modèles, les mots du dictionnaire et les informations personnelles que les attaquants exploitent.
Rendez-le unique — Un mot de passe par compte. 94 % des mots de passe sont réutilisés sur plusieurs comptes. Quand un service est violé, tous vos comptes utilisant ce mot de passe sont compromis.
Évitez les astuces de complexité — “P@$$w0rd!” a l'air complexe mais est trivial à casser. Une chaîne de 20 caractères aléatoires en minuscules est bien plus forte qu'une chaîne de 8 caractères avec des symboles forcés.
Utilisez un gestionnaire de mots de passe — Le seul moyen pratique de maintenir des mots de passe uniques de 16+ caractères pour chaque compte. Un générateur crée les mots de passe ; un gestionnaire les stocke.

Pourquoi les mots de passe forts sont importants en 2026

Les violations de données ne sont plus des événements rares — elles sont une constante. En 2024 seul, plus de 1,7 milliard d'identifiants ont été exposés dans les violations signalées publiquement, et le vrai chiffre est probablement bien plus élevé. Des bases de données comme la compilation “RockYou2024” contiennent près de 10 milliards d'entrées de mots de passe uniques, donnant aux attaquants un énorme dictionnaire pour les attaques par remplissage d'identifiants.

Le problème fondamental est la réutilisation de mots de passe. Quand un service est violé, les attaquants testent automatiquement ces mêmes paires e-mail-mot de passe contre des milliers d'autres sites — banques, fournisseurs de messagerie, stockage cloud, réseaux sociaux. Un mot de passe divulgué seul peut entraîner une compromission d'identité complète s'il déverrouille votre messagerie principale, qui à son tour réinitialise tous les autres comptes.

C'est pourquoi un gestionnaire de mots de passe n'est plus facultatif. La personne moyenne a 70 à 100 comptes en ligne. Personne ne peut mémoriser autant de mots de passe uniques et de haute entropie. Un gestionnaire de mots de passe vous permet de générer un mot de passe aléatoire distinct pour chaque service et de le rappeler instantanément. Vous mémorisez un seul maître mot de passe fort ; le gestionnaire gère le reste. Combiné avec l'authentification à deux facteurs, cette approche élimine la grande majorité des attaques basées sur les identifiants avant qu'elles ne commencent.

Force du mot de passe par longueur

Combien de temps faudrait-il pour casser votre mot de passe ? Ces estimations sont basées sur les données 2025 de Hive Systems, en supposant un cluster GPU moderne (12 × RTX 5090) attaquant les hachages bcrypt (facteur de coût 10) :

Longueur	Nombres uniquement	Minuscules	+ Majuscules	Tous les caractères	Entropie (tous)
6	Instantané	Instantané	Instantané	1 seconde	39 bits
8	Instantané	57 minutes	4 jours	8 mois	53 bits
10	Instantané	2 ans	300 ans	58K ans	66 bits
12	3 minutes	2 000 ans	880K ans	3 milliards d'ans	79 bits
14	5 heures	2M ans	600M ans	31 billions d'années	92 bits
16	21 jours	477M ans	380B ans	30 billions de milliards d'années	105 bits
20	5 ans	39T ans	253 000T ans	Pratiquement jamais	131 bits
32	1B ans	Au-delà de la mort thermique de l'univers			210 bits

Les temps supposent une attaque par force brute hors ligne contre les hachages bcrypt. Les attaques en ligne avec limitation de débit sont bien plus lentes. Un hachage faible (MD5, SHA-1) réduit les temps de plusieurs ordres de grandeur.

Mot de passe vs. Phrase-clé

Une phrase-clé est une séquence de mots aléatoires, non liés (par ex., “cheval-correct-batterie-agrafeur”). Voici comment elles se comparent aux mots de passe aléatoires traditionnels :

Critères	Mot de passe aléatoire	Phrase-clé
Exemple	`k7#mQ9$xL2!pN4w`	`cheval-correct-batterie-agrafeur`
Longueur typique	12-20 caractères	20-40 caractères
Entropie (typique)	79-131 bits	52-108 bits (4-7 mots)
Mémorabilité	Impossible sans gestionnaire	Modérée — l'imagerie mentale aide
Facilité de saisie	Faible — symboles mélangés	Élevée — mots réguliers
Idéal pour	Comptes de site Web (stockés dans gestionnaire)	Mots de passe principaux, chiffrement d'appareil
Compatible NIST	Oui (si 15+ caractères)	Oui (si 15+ caractères)

Point clé : Les phrases-clés échangent la densité d'entropie pour la mémorabilité. Une phrase-clé aléatoire de 5 mots (environ 86 bits) est plus facile à retenir qu'un mot de passe aléatoire de 12 caractères (environ 79 bits) tout en étant plus sécurisé. Pour une sécurité maximale, utilisez des mots de passe aléatoires stockés dans un gestionnaire de mots de passe.

Erreurs courantes de mots de passe

Selon l'analyse 2025 de NordPass sur les données du darknet, les 10 mots de passe les plus courants sont :

#	Mot de passe	Occurrences	Temps de cassage
1	`123456`	179,9M	Instantané
2	`123456789`	67,4M	Instantané
3	`12345678`	63,9M	Instantané
4	`password`	46,6M	Instantané
5	`12345`	28,3M	Instantané
6	`qwerty`	22,0M	Instantané
7	`1234567`	16,3M	Instantané
8	`1234567890`	15,8M	Instantané
9	`111111`	12,2M	Instantané
10	`qwerty123`	12,0M	Instantané

Chacun de ceux-ci est cassé instantanément. Les 5 erreurs les plus courantes de mots de passe que les gens font :

Réutiliser des mots de passe — 80-85 % des gens réutilisent les mots de passe sur plusieurs sites. Une violation compromet tous vos comptes.
Utiliser des informations personnelles — Les noms, dates d'anniversaire, noms d'animaux de compagnie et adresses sont facilement trouvables sur les réseaux sociaux et les archives publiques.
Modèles de clavier — “qwerty,” “asdf,” et “zxcv” font partie des premières combinaisons que les attaquants essaient.
Substitutions simples — Remplacer “a” par “@” ou “e” par “3” (leet speak) est connu des casseurs et ajoute une sécurité négligeable.
Changements incrémentiels — Changer “Password1” en “Password2” quand on est forcé de rotation. Le NIST recommande maintenant explicitement d'éviter la rotation de mot de passe obligatoire.

Questions fréquemment posées

Est-il sûr d'utiliser ce générateur de mots de passe ?

Oui. Ce générateur s'exécute entièrement dans votre navigateur en utilisant JavaScript. Aucun mot de passe n'est jamais envoyé à un serveur. Il utilise crypto.getRandomValues(), le générateur de nombres aléatoires cryptographiquement sécurisé intégré au navigateur — la même API utilisée par les gestionnaires de mots de passe comme Bitwarden et 1Password.

Qu'est-ce qui rend un mot de passe fort ?

Un mot de passe fort a trois propriétés : longueur (au moins 16 caractères, selon les recommandations du CISA), aléatoire (pas de mots de dictionnaire, noms, dates ou modèles) et unicité (jamais réutilisé entre comptes). Le NIST a supprimé les exigences obligatoires de caractères spéciaux en faveur de la longueur, car chaque caractère supplémentaire augmente exponentiellement la difficulté du forçage brut.

Quelle longueur doit avoir mon mot de passe ?

Le NIST recommande maintenant un minimum de 15 caractères pour l'authentification à facteur unique (SP 800-63B Rev. 4). Le CISA recommande 16 caractères ou plus. Pour l'authentification multifacteur, 8 caractères est le minimum. Le point idéal pour la plupart des utilisateurs est 16-20 caractères — assez longs pour être sécurisés pendant des décennies, gérables avec un gestionnaire de mots de passe.

Qu'est-ce qu'une phrase-clé et est-elle meilleure qu'un mot de passe ?

Une phrase-clé est une séquence de 4 à 7 mots aléatoires, non liés (par ex., “cheval-correct-batterie-agrafeur”). Une phrase-clé aléatoire de 5 mots a environ 86 bits d'entropie — plus forte qu'un mot de passe complexe de 12 caractères (environ 79 bits) — tout en étant plus facile à retenir. Les phrases-clés sont idéales pour les mots de passe principaux où vous devez taper de mémoire. Pour les comptes de site Web, les mots de passe de caractères aléatoires stockés dans un gestionnaire de mots de passe sont également sécurisés et plus pratiques.

À quelle fréquence dois-je changer mes mots de passe ?

Le NIST ne recommande plus les changements de mots de passe routiniers. Les directives mises à jour de 2024 énoncent explicitement que les organisations “ne doivent pas” exiger une rotation de mot de passe périodique sauf s'il y a preuve de compromission. Les changements forcés ont entraîné des modèles prévisibles. Changez votre mot de passe uniquement si vous soupçonnez qu'il a été compromis, si un service signale une violation de données, ou si vous avez partagé le mot de passe et souhaitez révoquer l'accès.

Qu'est-ce que l'entropie de mot de passe ?

L'entropie mesure l'imprévisibilité du mot de passe en bits. La formule est E = log2(R^L), où R est la taille du pool de caractères et L est la longueur du mot de passe. Chaque bit double le nombre de combinaisons possibles. Moins de 35 bits est faible (cassé en minutes), 60-75 bits est fort, 75-100 est très fort, et 100+ bits est excellent. Un mot de passe de 16 caractères utilisant tous les types de caractères a environ 105 bits d'entropie.

Qu'est-ce que l'authentification à deux facteurs (2FA) ?

L'authentification à deux facteurs nécessite une deuxième étape de vérification au-delà de votre mot de passe — généralement un code d'une application d'authentification, d'un SMS ou d'une clé de sécurité matérielle. Même si votre mot de passe est volé, l'attaquant ne peut pas accéder à votre compte sans le deuxième facteur. Les applications d'authentification (Google Authenticator, Authy) sont plus sécurisées que les SMS, et les clés matérielles (YubiKey) sont l'option la plus sécurisée. Activez la 2FA sur les e-mails, les services bancaires et les réseaux sociaux au minimum.

Comment les mots de passe sont-ils cassés ?

Les attaquants utilisent plusieurs méthodes : Force brute essaie chaque combinaison (rapide pour les mots de passe courts, impraticable pour 16+ caractères). Attaques par dictionnaire essaient les mots courants, noms et mots de passe divulgués. Remplissage d'identifiants utilise les paires nom d'utilisateur/mot de passe volées d'une violation pour se connecter à d'autres sites. Tables arc-en-ciel utilisent les recherches de hachages précalculées pour le cassage hors ligne. Hameçonnage vous incite à entrer des identifiants sur des faux sites. Un mot de passe aléatoire de 16 caractères vainc le forçage brut et les attaques par dictionnaire ; les mots de passe uniques vaincent le remplissage d'identifiants.

Dois-je utiliser un gestionnaire de mots de passe ?

Oui. Le CISA, le NIST et toutes les grandes organisations de sécurité recommandent d'utiliser un gestionnaire de mots de passe. Il génère, stocke et remplit automatiquement les mots de passe forts et uniques pour chaque compte — vous ne mémorisez qu'un seul mot de passe principal. Cela élimine la réutilisation de mots de passe, la principale cause de la prise de contrôle de comptes. Un générateur de mots de passe (comme cet outil) crée les mots de passe ; un gestionnaire de mots de passe les stocke. Les options populaires incluent Bitwarden (gratuit/open-source), 1Password et Dashlane.

Cet outil est-il vraiment gratuit ?

Oui, complètement gratuit sans limites. Pas d'inscription, pas de compte requis, pas de restrictions sur le nombre de mots de passe que vous pouvez générer. L'outil s'exécute dans votre navigateur sans interaction avec le serveur. Utilisez-le autant que vous le souhaitez.