Password Generator
Generate secure, random passwords client-side
Symbol set:
!@#$%&*-_=+.?
Comment ce générateur fonctionne
Chaque caractère est tiré de crypto.getRandomValues() — le même générateur cryptographique que votre navigateur utilise pour les handshakes TLS. Nous appliquons l'échantillonnage par rejet (*rejection sampling*) lors du mappage de bytes aléatoires vers les indices de caractères, évitant le petit biais de byteAléatoire % tailleDuSet présent dans de nombreux générateurs.
Deux jeux de symboles
Le jeu complet (!@#$%^&*()-_=+[]{};:,.<>?/|~\'\"\\) donne plus d'entropie par caractère, mais crée des problèmes : les sites bancaires rejettent silencieusement certains symboles ; les claviers mobiles rendent { et ~` pénibles.
Par défaut nous utilisons un jeu sûr (!@#$%&*-_=+.?) qui fonctionne dans 95% des formulaires. Activez "Jeu étendu" si vous avez besoin d'entropie maximale.
Ce que "fort" signifie
La barre de force mesure l'entropie de Shannon — bits d'aléatoire. Chaque bit double le nombre de tentatives pour brute-force.
| Note | Entropie | Temps à 1 000 milliards de tentatives/s |
|---|---|---|
| Faible | < 28 bits | Secondes |
| Moyen | 28–49 bits | Heures à jours |
| Fort | 50–71 bits | Décennies |
| Très Fort | 72+ bits | Siècles |
Rien n'est stocké
Le mot de passe généré vit uniquement en mémoire du navigateur. Pas de localStorage, pas d'appels réseau. La page ne génère même pas automatiquement au chargement — vous décidez quand.
Attaques en ligne vs hors ligne — pourquoi le même mot de passe est "faible" et "correct" en même temps
Lorsque vous tapez un mot de passe dans un formulaire de connexion web, votre tentative est vérifiée par le serveur du site. Les services modernes surveillent cela de près : après trois ou cinq essais erronés, le compte est temporairement verrouillé, exige un captcha, ou déclenche un email d'"activité suspecte". Même avec une liste de mots de passe divulgués, un attaquant peut essayer peut-être 5-10 tentatives par minute avant d'être bloqué — et même avec une petite armée de bots distribuant les tentatives, il est difficile de dépasser quelques centaines par heure. C'est ce qu'on appelle rate limiting (limitation du taux). Face à un attaquant limité à quelques centaines de tentatives par heure, un mot de passe de 8 caractères en minuscules (28 bits d'entropie, ~200 milliards de possibilités) est correct. Il ne peut tout simplement pas en essayer assez.
Le scénario catastrophe est différent. Les sites sont piratés, les bases de données sont divulguées, les coffres-forts de mots de passe sont volés, les sauvegardes chiffrées sont exfiltrées. Quand cela arrive, l'attaquant a une *copie* des données sur sa propre machine. Pas de rate limit. Pas de verrouillage. Il peut lui envoyer une ferme de GPU — des milliards de tentatives par seconde. Le même mot de passe de 8 caractères qui a tenu pour toujours contre le login du site tombe en quelques secondes. Le modèle de menace s'inverse au moment où les données quittent l'environnement contrôlé du serveur.
C'est pourquoi le même mot de passe apparaît comme "faible" sur la barre même si, pour la plupart des usages, il est parfaitement sûr. La barre suppose le pire cas : quelqu'un a le blob chiffré et peut l'attaquer hors ligne à pleine vitesse.
Ce qu'un gestionnaire de mots de passe fait vraiment pour vous
Un gestionnaire de mots de passe résout le problème de l'attaque hors ligne d'une manière que les humains seuls ne peuvent pas : il vous permet d'utiliser un mot de passe aléatoire unique de 20+ caractères pour chaque site, sans que votre cerveau ait à en mémoriser aucun. Vous mémorisez un mot de passe maître — le vôtre, choisi avec soin, long, idéalement avec des mots que vous n'oublierez jamais — et le gestionnaire gère tout le reste. Quand un site est piraté, seul ce mot de passe spécifique est exposé, et c'est une chaîne aléatoire de 20 caractères qu'aucune attaque hors ligne ne va casser en temps utile. Le rayon de catastrophe tombe de "tous mes comptes" à "ce compte spécifique, que je vais changer".
Si vous n'utilisez pas de gestionnaire de mots de passe aujourd'hui, cela peut être la plus grande amélioration de sécurité des mots de passe qui vous est accessible, et cela coûte moins qu'un café par mois (ou est gratuit, dans certains cas). Notre générateur existe pour le moment où vous avez besoin d'un mot de passe fort aléatoire et ne voulez pas réfléchir — mais le mot de passe qu'il vous donne est plus utile lorsqu'il est stocké quelque part de durable, pas mémorisé.