Testeur de robustesse de mot de passe

À propos du testeur de robustesse

Le testeur de mot de passe analyse la solidité à l'aide d'algorithmes utilisés par les spécialistes de la sécurité. Il évalue la longueur, la variété de caractères, l'entropie et les motifs fréquents pour délivrer un score fiable et des conseils exploitables. Le générateur intégré s'appuie sur une source aléatoire cryptographiquement sécurisée pour créer des mots de passe impossibles à deviner.

Comment la force est-elle calculée ?

Nous combinons plusieurs facteurs :\n\n• Longueur : plus c'est long, plus c'est exponentiellement solide (8+ minimum, 12+ conseillé)\n• Variété de caractères : majuscules, minuscules, chiffres et symboles complexifient les combinaisons\n• Entropie : mesure mathématique de l'imprévisibilité\n• Motifs courants : pénalité pour les mots du dictionnaire, séquences (abc, 123) ou répétitions (aaa)\n• Mots de passe connus : comparaison avec une base des mots les plus compromis\n\nLe score (0-100) reflète la sécurité globale et s'accompagne de recommandations.

Qu'est-ce que l'entropie d'un mot de passe ?

L'entropie mesure l'aléa en bits. Plus elle est élevée, plus les combinaisons possibles sont nombreuses :\n\n• 0-28 bits : très faible (cassage instantané)\n• 28-35 bits : faible (secondes/minutes)\n• 36-59 bits : moyen (heures/jours)\n• 60-127 bits : bon (années)\n• 128+ bits : excellent (siècles)\n\nFormule : entropie = longueur × log₂(taille de l'alphabet). Ex : 12 caractères avec minuscules+majuscules+chiffres+symboles ≈ 79 bits.

À quoi correspond le temps de cassage ?

Le temps de cassage estime la durée nécessaire pour deviner le mot de passe par force brute (essai de toutes les combinaisons). Hypothèses :\n\n• Un débit d'essais défini par le modèle de vitesse d'attaquant sélectionné\n• En moyenne, la moitié des combinaisons est testée\n• Pas de limitation de tentative\n\nLa réalité dépend :\n• De la puissance de l'attaquant\n• Du salage/hashage côté serveur\n• Des protections de type rate limiting\n• De l'utilisation d'une double authentification\n\nUn bon mot de passe doit demander des années, voire des siècles à casser.

À quelle vitesse un GPU peut-il casser mon mot de passe ?

Cela dépend entièrement du modèle d'attaquant, c'est pourquoi cet outil vous laisse en choisir un et recalcule le temps de cassage en direct :\n\n• En ligne, limité (~100 essais/s) : un formulaire de connexion avec limitation et verrouillage\n• En ligne, sans limite (~10K/s) : une API ou un point d'accès sans restriction\n• Hachage lent hors ligne, bcrypt/scrypt/Argon2 (~10K/s) : une base volée hachée avec une KDF volontairement lente\n• Hachage rapide hors ligne, SHA-256 un GPU (~10 milliards/s) : un hachage MD5/SHA non salé fuité sur un GPU grand public\n• Ferme de GPU hors ligne (~1 billion/s) : un cluster de cassage multi-GPU\n\nUn mot de passe qui résiste « des siècles » à 100 essais/s peut tomber en quelques heures face à une ferme de GPU hors ligne : évaluez toujours selon le modèle de menace réel.

Cela respecte-t-il NIST 800-63B, PCI-DSS ou OWASP ?

Utilisez cet outil pour estimer l'entropie et le temps de cassage, puis comparez au standard que vous devez respecter :\n\n• NIST SP 800-63B : exige au moins 8 caractères (15+ recommandés), autorise tous les caractères imprimables et espaces, et déconseille les règles de composition imposées et les réinitialisations périodiques. Il insiste sur le filtrage des listes de mots de passe compromis - la vérification des mots de passe courants reflète cette intention.\n• PCI-DSS v4.0 : minimum 12 caractères avec lettres et chiffres pour les systèmes concernés (ou complexité/entropie équivalente).\n• OWASP ASVS : recommande 12+ caractères, aucun maximum arbitraire en dessous de 64 et le blocage des mots de passe compromis connus.\n\nEn règle générale, visez 60+ bits d'entropie pour les comptes courants et 80+ bits pour les secrets de grande valeur ou attaquables hors ligne. Cet outil ne stocke ni ne transmet rien : il est sûr pour rédiger une politique, mais c'est un estimateur, pas un certificateur de conformité.

Qu'est-ce qui définit un mot de passe fort ?

Un mot de passe robuste présente :\n\n• Longueur : 12 caractères ou plus\n• Variété : mélange de lettres, chiffres et symboles\n• Aléa : absence de motifs ou de mots du dictionnaire\n• Unicité : différent pour chaque service\n• Non-réutilisation : jamais le même ailleurs\n• Non-personnel : pas de noms, dates ou infos privées\n\nExemples :\n❌ password123, qwerty, abc123\n❌ Password123! (base trop commune)\n✅ K9#mL2pQ@vN8xR4t

Pourquoi éviter les mots de passe courants ?

Ils sont testés en premier par les attaquants :\n\n• Attaques dictionnaire : listes de millions de mots de passe diffusés sur le web\n• Credential stuffing : réutilisation de mots de passe issus de fuites\n• Ingenierie sociale : données personnelles faciles à deviner\n\nLes pires exemples : password, 123456, qwerty, abc123, noms/prénoms, équipes de sport, dates d'anniversaire. Même avec quelques symboles (Password123!) ils restent vulnérables.

Que sont les motifs séquentiels ou répétitifs ?

Les séquences suivent un ordre prévisible :\n• Alphabet : abc, xyz\n• Nombres : 123, 789, 2468\n• Clavier : qwerty, azerty\n\nLes motifs répétitifs réutilisent les mêmes caractères :\n• aaa, 111, ***\n• abcabc, 123123\n\nCes modèles réduisent fortement la sécurité car ils sont faciles à deviner et présents dans les dictionnaires d'attaque.

Comment fonctionne le générateur ?

Le générateur s'appuie sur l'API Web Crypto (window.crypto.getRandomValues()) pour produire des nombres réellement aléatoires :\n\n• Aléa réel : s'appuie sur les sources matérielles du système\n• Sécurisé cryptographiquement : utilisable pour des mots de passe critiques\n• Imprévisible : impossible à reproduire\n• Pas pseudo-aléatoire : contrairement à Math.random()\n\nVous choisissez la longueur (8-64) et les types de caractères (majuscules, minuscules, chiffres, symboles). Les mots de passe générés restent dans votre navigateur.

Mon mot de passe est-il en sécurité pendant le test ?

Oui :\n\n• Traitement local : tout se passe dans votre navigateur\n• Aucune communication serveur\n• Aucun stockage, cookie ou log\n• Pas de suivi des frappes\n• Code transparent et auditable\n\nBon réflexe : ne testez pas vos vrais mots de passe sur des sites douteux, et préférez un gestionnaire pour les conserver.

Faut-il utiliser un gestionnaire de mots de passe ?

Absolument. Ils :\n\n• Génèrent des mots de passe uniques et forts\n• Les stockent chiffrés\n• Auto-complètent les formulaires pour éviter l'hameçonnage\n• Détectent les doublons ou faiblesses\n• Synchronisent vos appareils\n\nSolutions populaires : 1Password, Bitwarden, LastPass, iCloud Trousseau, Google Password Manager. Vous n'avez plus qu'un seul mot de passe maître à mémoriser.

Quelles autres bonnes pratiques adopter ?

En complément des mots de passe :\n\n• Activez l'authentification à deux facteurs (SMS, application, clé physique)\n• N'utilisez jamais le même mot de passe sur deux services\n• Changez-le après une fuite ou un doute\n• Surveillez les violations via haveibeenpwned.com\n• Vérifiez toujours l'URL avant de saisir vos identifiants\n• Maintenez vos logiciels et navigateurs à jour\n• N'entrez jamais vos mots de passe sur des sites non HTTPS\n• Utilisez un VPN sur les Wi-Fi publics