Générateur de mots de passe

Générateur gratuit de mots de passe robustes. Créez des mots de passe aléatoires sécurisés avec longueur personnalisée, majuscules, minuscules, chiffres et symboles. Génération en lot et indicateur de force intégrés.

Vous avez des commentaires ? Signalez des bugs, suggérez des fonctionnalités ou partagez vos idées — nous lisons tout

Générateur de mots de passe - Créez des mots de passe aléatoires solides

Outil de génération cryptographiquement sûre. Personnalisez la longueur, les caractères, créez plusieurs mots de passe et contrôlez leur robustesse grâce à l'indicateur intégré.

Qu'est-ce qui rend un mot de passe fort en 2026?

La force moderne des mots de passe est dominée par l'entropie — le logarithme de l'espace de recherche qu'un attaquant doit couvrir. NIST SP 800-63B (révision 2024) recommande un minimum de 8 caractères mais encourage 15 ou plus pour tout compte protégeant des données précieuses. La longueur compte plus que la complexité: un mot de passe de 20 caractères en minuscules seulement a environ 94 bits d'entropie, bien plus fort qu'un de 8 caractères en majuscules-minuscules-chiffres-symboles (~52 bits). Le facteur le plus important est l'unicité — chaque compte doit avoir un mot de passe distinct, car la violation moyenne expose un identifiant que 65% des utilisateurs réutilisent. Utilisez un gestionnaire de mots de passe (1Password, Bitwarden, KeePass) pour générer et stocker des mots de passe aléatoires par site, et protégez le coffre avec une longue phrase de passe plus une authentification multifacteur par matériel. Évitez la rotation périodique obligatoire (NIST a supprimé cette exigence) — elle pousse les utilisateurs vers des variations prévisibles.

Comment les mots de passe aléatoires se comparent-ils aux phrases de passe (diceware)?

Les deux peuvent être forts s'ils sont générés correctement. Un mot de passe aléatoire de N caractères d'un alphabet de K symboles a N·log2(K) bits d'entropie: 16 caractères aléatoires de l'alphabet 95-ASCII imprimable donnent environ 105 bits — au-delà de toute force brute faisable. Une phrase de passe diceware utilise des dés physiques ou cryptographiques pour choisir des mots d'une liste publique (la liste longue EFF a 7,776 = 6^5 mots), donnant log2(7776) ≈ 12.9 bits par mot: 5 mots donnent 64 bits (correct), 7 mots donnent 90 bits (excellent), 10 mots donnent 129 bits (excessif). Les phrases de passe sont plus faciles à mémoriser, retaper sur téléphones et dicter à voix haute, idéales pour les mots de passe maîtres de coffre. Les mots de passe à caractères aléatoires sont plus denses et meilleurs pour les sites avec limites de longueur. Important, n'inventez jamais vos propres mots — utilisez une source aléatoire vérifiée.

Qu'est-ce que l'entropie et comment la calculer?

L'entropie de l'information (Shannon, 1948) mesure l'imprévisibilité en bits. Pour un mot de passe uniformément aléatoire de longueur L choisi dans un alphabet de taille N, entropie = L × log2(N). Un mot de passe de 12 caractères de [a-zA-Z0-9] (62 caractères) a 12 × log2(62) ≈ 71 bits. Chaque bit supplémentaire double le travail pour un attaquant en force brute. Les GPU modernes peuvent calculer ~100 milliards (~37 bits) de hachages MD5 par seconde par GPU, donc un mot de passe de 50 bits haché MD5 sans sel tombe en environ un jour sur un rig à 8 GPU. bcrypt correctement salé ralentit cela à ~10,000 par seconde, poussant 70 bits à des milliers d'années. NIST recommande ≥80 bits pour les clés symétriques et une force équivalente pour les mots de passe protégeant des comptes précieux. Les "indicateurs de force" en ligne qui notent par heuristiques visuelles ("ajoutez un symbole!") sont largement du théâtre — l'entropie d'un vrai CSPRNG est ce qui compte.

Pourquoi éviter les motifs courants comme P@ssw0rd! ou Ete2026?

Les attaquants ne devinent pas au hasard — ils utilisent des attaques par dictionnaire muté basées sur des corpus de violations divulgués (RockYou contenait 14 millions de mots de passe uniques; HaveIBeenPwned expose plus de 800 millions). Des outils comme Hashcat supportent des fichiers de règles qui effectuent chaque substitution courante: P@ssw0rd, P@$$w0rd, Pa55w0rd, Pa$$word, etc., tous atteints dans les premiers millions de tentatives. "Ete2026!" apparaît essentiellement dans chaque liste moderne avec permutations d'année intégrées. Noms de famille, équipes sportives, noms d'animaux et dates de naissance sont également triviaux car les attaquants croisent l'OSINT des réseaux sociaux. La défense est l'aléatoire d'un CSPRNG (crypto.getRandomValues dans les navigateurs, module secrets en Python, /dev/urandom sous Linux) — jamais des motifs choisis par un cerveau humain. Les mots de passe vraiment aléatoires paraissent inmémorisables à dessein: c'est pourquoi nous utilisons des gestionnaires.

Générateur de mots de passe — Générateur gratuit de mots de passe robustes. Créez des mots de passe aléatoires sécurisés avec longueur personnalisée, — **Générateur de mots de passe**

Les mots de passe doivent-ils être stockés hachés ou chiffrés sur le serveur?

Toujours hachés, jamais chiffrés ou en clair. Le chiffrement est réversible — quiconque a la clé peut déchiffrer tous les mots de passe, donc une seule fuite de clé compromet chaque compte. Le hachage est à sens unique: même le serveur ne peut récupérer le mot de passe à partir du hachage stocké. Utilisez une fonction moderne de hachage adaptatif de mots de passe: Argon2id est la recommandation OWASP et IETF (RFC 9106) depuis 2015 comme gagnant du Concours de Hachage de Mots de Passe, avec bcrypt et scrypt comme choix hérités acceptables. PBKDF2-HMAC-SHA256 avec ≥600,000 itérations est requis pour les systèmes conformes FIPS. Chaque mot de passe doit utiliser un sel aléatoire unique de 16 octets pour battre les tables arc-en-ciel. SHA-256 ou MD5 simples ne sont PAS acceptables — ils sont des ordres de grandeur trop rapides. La violation LinkedIn de 2012 a exposé 117 millions de hachages SHA-1 sans sel; la plupart ont été craqués en jours.

Ai-je besoin de 2FA si j'ai un mot de passe fort?

Oui — l'authentification multifacteur (MFA) défend contre les attaques qu'aucune longueur de mot de passe ne peut empêcher: phishing, enregistreurs de frappe malveillants, violations côté serveur et bourrage d'identifiants. NIST SP 800-63B classe les authentificateurs en trois facteurs: quelque chose que vous savez (mot de passe), quelque chose que vous avez (clé de sécurité, téléphone), quelque chose que vous êtes (empreinte, visage). La vraie MFA nécessite au moins deux facteurs distincts. Ordre de préférence: les clés de sécurité matérielles utilisant FIDO2/WebAuthn (YubiKey, Titan) résistent au phishing car elles se lient au domaine d'origine; les apps TOTP (Authy, Google Authenticator) sont bonnes mais vulnérables aux proxys de phishing en temps réel (Evilginx); les codes SMS sont les plus faibles (attaques SIM-swap) et déconseillés par NIST depuis 2017. La MFA basée sur push (Microsoft Authenticator) souffre d'attaques de "fatigue MFA" où les attaquants spamment les invites d'approbation. Utilisez une clé matérielle là où c'est supporté.

Quels caractères inclure et lesquels éviter?

Maximisez l'alphabet pour maximiser l'entropie. Les systèmes modernes devraient accepter les 95 caractères ASCII imprimables (0x20-0x7E): lettres, chiffres et les symboles !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ plus l'espace. NIST SP 800-63B exige explicitement d'accepter tout l'ASCII imprimable et idéalement Unicode. Cependant, les systèmes réels se comportent souvent mal: certains retirent < > pour prévenir XSS (signe d'assainissement cassé côté serveur), certains cassent sur les guillemets ou barres obliques inverses à cause de bugs d'échappement SQL, certains tronquent à 8 ou 16 caractères (signe qu'ils utilisent crypt(3)). Pour une compatibilité maximale, générez des mots de passe à partir de [A-Za-z0-9!@#$%^&*()-_=+?]. Évitez les caractères qui se ressemblent (O vs 0, l vs 1 vs I) seulement si des humains doivent taper le mot de passe à vue; sinon la perte d'entropie est inutile. Les sites qui interdisent certains caractères créent de l'insécurité, ils ne l'empêchent pas.

Comment fonctionne réellement le cassage de mots de passe?

Les attaquants modernes ne devinent pas les mots de passe contre un formulaire de connexion en direct — cela déclenche la limitation de débit et les verrouillages de compte. Au lieu de cela, ils volent la base de données des hachages de mots de passe (via injection SQL, taupe interne, fuite de sauvegarde), puis cassent hors ligne sur des rigs dédiés. Hashcat et John the Ripper sont les outils principaux, accélérés par GPU (une RTX 4090 fait ~200 GH/s sur MD5, ~16 KH/s sur bcrypt cost=10). Le pipeline d'attaque: (1) attaque par wordlist avec rockyou.txt et corpus de violations, (2) mutations basées sur règles (ajouter 1, capitaliser, échanger a→@), (3) attaques par masque sur motifs courants (?u?l?l?l?l?l?l?d?d pour mot capitalisé de 6 lettres + 2 chiffres), (4) attaques hybrides combinant wordlist + masque, (5) force brute pure seulement pour les mots de passe courts. Un mot de passe bcrypt salé avec 12+ bits d'entropie au-delà d'une base de dictionnaire résiste à tous les stades. Longueur plus aléatoire gagne; les règles de complexité ne gagnent pas.