Comment les mots de passe sont fabriques
Definissez une longueur entre 4 et 64 caracteres, activez toute combinaison de majuscules, minuscules, chiffres et symboles, et cliquez sur Generer. Le hasard provient de l'API Web Crypto de votre navigateur (crypto.getRandomValues) — le meme generateur cryptographiquement sur utilise pour les cles de chiffrement — pas le previsible Math.random(). Avec les quatre ensembles actives, le vivier compte 88 caracteres distincts, et chaque position est tiree independamment, de sorte que rien dans un caractere ne laisse deviner le suivant.
Pourquoi la longueur bat l'astuce
Chaque caractere d'un vivier de 88 symboles ajoute environ 6,5 bits d'entropie, et chaque bit double le travail de devinette. En supposant un attaquant testant 10 milliards d'essais par seconde hors ligne :
| Longueur | Entropie | Temps moyen pour casser |
|---|---|---|
| 8 caracteres | ~52 bits | jours |
| 12 caracteres | ~77 bits | des centaines de milliers d'annees |
| 16 caracteres | ~103 bits | des billions d'annees |
| 20 caracteres (defaut) | ~129 bits | pratiquement pour toujours |
Le saut de 8 a 12 caracteres est la difference entre "cassable cette semaine" et "survit a l'univers" — c'est exactement ce que reflete l'indicateur de force sous le resultat : il passe de Faible sous 8 caracteres a Moyen et Bon jusqu'a Fort a 16 et plus.
Exemple concret : choisir les reglages
Disons qu'un site bancaire legacy refuse les symboles. Decochez symboles, laissant un vivier de 62 caracteres (26 + 26 + 10), et compensez avec la longueur : a ~5,95 bits par caractere, un mot de passe de 22 caracteres en lettres et chiffres (~131 bits) est en fait plus fort qu'un mot de passe de 20 caracteres utilisant les quatre ensembles (~129 bits). Regle empirique : chaque fois qu'un site restreint votre jeu de caracteres, ajoutez quelques caracteres de longueur et vous aurez plus que compense la difference.
Bien utiliser les mots de passe generes
- Un mot de passe par site. La reutilisation, pas la faiblesse, est la facon dont la plupart des comptes tombent — un site compromis deverrouille tous les autres.
- Stockez-les dans un gestionnaire de mots de passe. Une chaine aleatoire de 20 caracteres n'est pas faite pour etre memorisee ; elle est faite pour etre collee.
- Regenerez librement. Recliquer sur Generer ne coute rien ; si un mot de passe a ete affiche dans un lieu semi-public, faites-en un nouveau.
- Ajoutez un second facteur quand il est propose — meme un mot de passe parfait peut etre hameconne.
Confidentialite
La generation tourne entierement dans votre navigateur — rien n'est envoye a un serveur, rien n'est stocke, et fermer l'onglet detruit le mot de passe a moins que vous l'ayez enregistre. Si vous avez besoin d'identifiants connexes, le generateur d'UUID cree des identifiants aleatoires et le generateur de hash calcule des sommes de controle SHA-256, tous deux egalement en local.