Générateur de Mots de Passe
Générer des mots de passe forts avec longueur et types de caractères personnalisés
Exclure les caractères confus comme 0O, 1lI
Qu'est-ce qu'un Générateur de Mots de Passe ?
Un générateur de mots de passe crée des mots de passe aléatoires et difficiles à deviner selon une longueur et des règles de caractères choisies. Un bon générateur utilise un hasard cryptographiquement sûr et combine majuscules, minuscules, chiffres et symboles seulement si le service cible les accepte. Des mots de passe forts réduisent les attaques par dictionnaire, force brute et credential stuffing, mais ne remplacent pas un gestionnaire, des mots de passe uniques par compte ni l’authentification multifactorielle. Les mots de passe très complexes ne doivent pas être mémorisés ni réutilisés; ils doivent être stockés de façon sûre. Pour les systèmes partagés, rotation, propriété et accès doivent être définis.
Comment utiliser
Étapes de génération
- Sélectionnez la longueur du mot de passe (12 caractères minimum recommandés)
- Cochez les types de caractères : majuscules, minuscules, chiffres, symboles
- Vous pouvez aussi exclure les caractères ambigus comme 0O, 1lI
- Cliquez sur le bouton Générer, répétez jusqu'au résultat souhaité
Force du mot de passe
- Faible : moins de 8 caractères ou un seul type de caractère
- Moyen : 8 à 11 caractères avec lettres et chiffres mélangés
- Bon : 12 à 15 caractères avec plusieurs types de caractères
- Fort : 16+ caractères avec tous les types de caractères
Conseils de sécurité
- Tous les mots de passe sont générés localement, jamais envoyés vers les serveurs
- Utilisez des mots de passe différents pour chaque site web
- Utilisez un gestionnaire de mots de passe pour les stocker en toute sécurité
- Changez régulièrement les mots de passe des comptes importants
- Évitez d'utiliser des informations personnelles dans les mots de passe
Cas d’utilisation
Principe technique
Le générateur de mots de passe puise son aléa dans crypto.getRandomValues(new Uint32Array(n)), qui remplit un tableau typé de valeurs pseudo-aléatoires cryptographiquement sûres issues du pool d'entropie du système d'exploitation (getrandom sur Linux, BCryptGenRandom sur Windows, SecRandomCopyBytes sur macOS/iOS). Il s'agit d'un CSPRNG tel que défini par l'API W3C Web Cryptography — contrairement à Math.random(), qui utilise dans V8 l'algorithme xorshift128+ et est explicitement documenté comme non cryptographique et prédictible à partir d'un petit échantillon de sorties. Le pool de caractères est assemblé à partir des classes sélectionnées par l'utilisateur : majuscules (26 lettres A-Z), minuscules (26 lettres a-z), chiffres (10 caractères 0-9) et symboles (32 caractères tirés de !@#$%^&*()_+-=[]{}|;:,.<>?), soit un pool maximum de 94 caractères. Un jeu de caractères personnalisé ou une liste d'exclusion (incluant un filtre de caractères ambigus supprimant i, I, l, L, 1, o, O, 0) affine encore le pool. Chaque caractère du mot de passe est sélectionné en prenant array[i] % pool.length, ce qui est uniformément distribué car la sortie du CSPRNG est uniforme sur 32 bits et le biais de modulo (|pool| ne divise pas 2^32 exactement) est négligeable pour des pools inférieurs à 256 caractères — le biais est inférieur à 0,00000006 %, bien en deçà de toute préoccupation pratique. La force du mot de passe est mesurée par la taille de l'espace de recherche : pour un pool de taille C et une longueur L, le nombre de mots de passe possibles est C^L. L'entropie en bits est log2(C^L) = L × log2(C). Pour un mot de passe de 16 caractères avec les quatre classes activées (C=94), cela donne 94^16 ≈ 4,4 × 10^31 combinaisons, soit environ 105 bits d'entropie. À un taux d'attaque hypothétique de 10^12 tentatives par seconde (environ le débit d'un grand cluster GPU contre un hash rapide comme NTLM), la recherche exhaustive prendrait approximativement 4,4 × 10^19 secondes — bien plus que l'âge de l'univers. Ce modèle suppose que l'attaquant doit tester chaque combinaison (pas de raccourcis basés sur dictionnaire ou motifs) et que le mot de passe est haché avec un algorithme lent et salé comme bcrypt ou Argon2id plutôt que stocké en texte clair. NIST SP 800-63B recommande un minimum de 8 caractères pour les mots de passe choisis par l'utilisateur et au moins 6 caractères générés aléatoirement pour les identifiants machine, avec documentation du jeu de caractères. La plage de longueur du générateur, de 4 à 64 caractères, couvre tout, des codes PIN aux identifiants machine à haute entropie. L'option « commencer par une lettre » garantit que le premier caractère est tiré de [A-Za-z], ce qui satisfait les systèmes legacy exigeant que les mots de passe commencent par une lettre.
- Source CSPRNG : crypto.getRandomValues() puise l'entropie dans le CSPRNG du noyau du système d'exploitation (getrandom/BCryptGenRandom/SecRandomCopyBytes) — contrairement à Math.random() (xorshift128+), il n'est pas prédictible, pas initialisable par la page, et adapté à la génération d'identifiants.
- Mathématiques de l'espace de caractères : avec les quatre classes activées, la taille du pool est de 94 ; l'entropie par caractère est log2(94) ≈ 6,55 bits. Un mot de passe de 16 caractères porte environ 105 bits d'entropie ; doubler la longueur à 32 porte ce chiffre à environ 210 bits.
- Sélection par modulo : array[i] % pool.length mappe la sortie CSPRNG 32 bits vers un indice de caractère — le biais est inférieur à 6 × 10^-8 % pour des pools de moins de 256 caractères, ce qui le rend cryptographiquement négligeable.
- Modèle de résistance à la force brute : à 10^12 tentatives/seconde (échelle de cluster GPU), un mot de passe de 16 caractères avec 94 symboles prendrait environ 10^19 secondes pour être épuisé — mais cela suppose un hash rapide ; bcrypt avec un facteur de coût de 12 ramène l'attaquant à environ 10^4 tentatives/seconde, rendant même les mots de passe de 8 caractères résilients.
- Exclusion des caractères ambigus : le filtre supprime {i, I, l, L, 1, o, O, 0} (8 caractères) — cela réduit le pool de 94 à 86, coûtant environ 0,6 bit d'entropie par caractère, ce qui est acceptable au regard du gain d'utilisabilité dans les scénarios de transcription manuelle.
- Alignement NIST SP 800-63B : la norme exige un minimum de 6 caractères choisis aléatoirement pour les secrets générés par machine et recommande de documenter l'espace de caractères — les préréglages du générateur (Simple 8 car., Fort 20 car.) correspondent à différents niveaux d'assurance.
- Historique localStorage : les 10 derniers mots de passe générés sont persistés dans window.localStorage, qui est limité à l'origine et au profil du navigateur — effacer l'historique les supprime du stockage, mais un outil de forensique au niveau disque pourrait les récupérer car localStorage est stocké sous forme de base de données SQLite en texte clair dans le répertoire du profil du navigateur.
Exemples
Mot de passe fort (classes de caractères mixtes)
Kx9#mP2$vL7@nQ4! - 16 caractères, les quatre classes (majuscule/minuscule/chiffre/symbole)
Force : extrêmement élevée ; même à 10 milliards de tentatives par seconde, un cassage par force brute prendrait des sièclesCode PIN (4 chiffres)
8527 - 4 chiffres numériques
Force: 10 000 combinaisons ; ne convient qu'au déverrouillage d'appareils avec limitation de débit et verrouillage, pas pour les comptes en ligneComparaison de la force des mots de passe
8 caractères, minuscules uniquement : 26^8 ≈ 2,08e11 combinaisons
8 caractères, classes mixtes : 94^8 ≈ 6,10e15 combinaisons
16 caractères, classes mixtes : 94^16 ≈ 3,7e31 combinaisons
Note: chaque caractère supplémentaire multiplie l'espace des clés par 94, et non par 8 - la longueur compte plus que le nombre de classesFAQ
Le mot de passe est-il généré dans mon navigateur ?
Oui. La page utilise crypto.getRandomValues de la Web Crypto API, qui fournit des octets aléatoires cryptographiquement robustes. Le mot de passe ne quitte jamais votre appareil, n'est pas journalisé et n'est pas dérivé d'une graine déterministe. Rafraîchissez la page pour démarrer une nouvelle séquence d'entropie si vous voulez en être sûr.
Quelle longueur et quel mélange de caractères choisir ?
Pour les comptes en ligne, 16 caractères minimum avec majuscules, minuscules, chiffres et symboles est le minimum moderne. Pour les mots de passe maîtres (gestionnaire de mots de passe, clés de chiffrement), 20 caractères ou plus, ou une phrase de passe de 6-7 mots est plus sûr. Au-delà d'un certain point, la longueur compte plus que la complexité du jeu de caractères.
Pourquoi certains sites refusent-ils le mot de passe que je viens de générer ?
Certains sites imposent encore des restrictions surprenantes : longueur maximale (souvent 12-20), pas de symboles, seulement certains symboles autorisés, ou pas d'espaces. La page expose des bascules de caractères pour vous permettre de respecter les règles. Signalez le site fautif : ces politiques affaiblissent activement la sécurité.
Certains caractères sont-ils intentionnellement évités ?
Si vous activez l'option « éviter les caractères ressemblants », le générateur exclut 0/O, 1/l/I et autres paires similaires faciles à mal lire en les recopiant depuis du papier ou un post-it. Désactivez-la pour une entropie maximale lorsque vous n'utiliserez le mot de passe que numériquement.
Un long mot de passe aléatoire est-il plus sûr qu'une phrase de passe ?
À entropie égale, les deux sont aussi difficiles à casser par force brute. Un mot de passe mixte de 16 caractères équivaut à peu près à une phrase de passe de 6 mots tirée d'une liste de 2000 mots. Les phrases de passe sont plus faciles à taper et à mémoriser ; les chaînes purement aléatoires sont plus faciles à coller depuis un gestionnaire. Choisissez selon l'usage.
Puis-je faire confiance à cet outil pour les clés maîtres de mon gestionnaire de mots de passe ?
Oui : la source d'aléa est la même Web Crypto API que votre navigateur utilise pour les clés HTTPS. Cela dit, pour les secrets à très haut enjeu (clés maîtres, codes de récupération), beaucoup préfèrent lancer des dés (diceware) ou utiliser un outil hors ligne, simplement pour retirer entièrement le navigateur de la chaîne de confiance.
Dois-je stocker ici le mot de passe généré ?
Non. La page ne sauvegarde pas les mots de passe ; copiez-le immédiatement dans un gestionnaire de mots de passe (1Password, Bitwarden, KeePass, le gestionnaire intégré du navigateur). Fermer la page ou actualiser le supprime définitivement.