Génération de mots de passe en ligne, gratuite

Ce qui rend vraiment un mot de passe fort

La force d'un mot de passe vient de l'entropie: le nombre de bits d'aléatoire qu'un attaquant doit deviner. Elle se calcule comme log₂(taille_du_jeu ^ longueur) : un mot de passe de 12 caractères tiré uniformément des 94 caractères ASCII imprimables possède environ 79 bits d'entropie ; un de 16 caractères en compte environ 105. Les recommandations de sécurité modernes considèrent que tout ce qui dépasse 80 bits résiste aux attaques par force brute hors ligne pour l'avenir prévisible, même avec du matériel spécialisé. NIST SP 800-63B (la directive américaine fédérale actuelle sur l'identité numérique, publiée en 2017 et révisée jusqu'en 2024) recommande exactement la même chose : minimum 8 caractères, jusqu'à 64 autorisés, tout l'Unicode imprimable accepté, espaces compris. Et surtout, cette directive renverse des décennies de mauvais conseils sur les mots de passe, elle dit aux administrateurs d'arrêter d'imposer un renouvellement périodique, d'arrêter d'exiger des règles de composition (« doit contenir un symbole »), et de commencer à vérifier les nouveaux mots de passe contre les corpus de fuites (l'API Pwned Passwords de Have I Been Pwned, créée par Troy Hunt en 2018, est l'implémentation standard). Le conseil pratique en 2026 : long, aléatoire, unique par compte, stocké dans un gestionnaire de mots de passe.

Phrases de passe, la tradition Diceware

Une phrase de passe est un mot de passe construit à partir de mots aléatoires plutôt que de caractères aléatoires. La technique a été formalisée par Diceware d'Arnold G. Reinhold en 1995, une liste de 7 776 mots anglais courts et courants, chacun associé à une adresse de cinq chiffres tirés aux dés (5⁵ = 7 776). Lancez cinq dés, cherchez le mot, recommencez autant de fois que voulu. Six mots Diceware donnent environ 77 bits d'entropie, l'équivalent d'un mot de passe ASCII aléatoire de 12 caractères, mais bien plus facile à taper et à mémoriser. La bande dessinée XKCD #936 (« correcthorsebatterystaple », septembre 2011) a popularisé l'idée et changé la culture de la sécurité ; les gestionnaires de mots de passe et les projets « secure-defaults » comme Bitwarden, 1Password, KeePassXC et les listes mises à jour par l'EFF prennent tous en charge la génération de phrases de passe. L'avantage n'est pas la sécurité (un mot de passe par caractères ou par mots avec une entropie équivalente est tout aussi solide face à la force brute) c'est la facilité de saisie. Une phrase de passe est le bon format quand vous devez réellement taper le mot de passe (mot de passe maître de votre gestionnaire, mot de passe de chiffrement intégral du disque, tout ce qui précède le remplissage automatique).

Pourquoi l'aléatoire compte, et la question du CSPRNG

La force d'un mot de passe suppose qu'il est uniformément aléatoire. Les motifs qu'un attaquant peut prédire, promenades sur le clavier (qwerty), dates, mots du dictionnaire, substitutions l33t: détruisent l'entropie bien plus vite que ne le suggère le simple décompte des caractères. Hashcat et John the Ripper, les outils standards de cassage de mots de passe, essaient des millions de motifs courants en premier ; un mot de passe de 8 caractères suivant l'un de ces motifs tombe en quelques secondes. Ce générateur utilise la Web Crypto API du navigateur, plus précisément crypto.getRandomValues(): un générateur de nombres aléatoires cryptographiquement sûr (CSPRNG) qui puise dans la réserve d'entropie du système d'exploitation. Contrairement à Math.random() (rapide mais prévisible, à ne jamais utiliser pour la sécurité), crypto.getRandomValues() est la primitive même que le navigateur emploie pour générer les clés de session TLS. L'aléa est adapté à tout usage cryptographique, mots de passe inclus.

Le compagnon indispensable : utilisez un gestionnaire de mots de passe

Générer des mots de passe forts et uniques n'a d'intérêt que si vous disposez d'un endroit pour les stocker. Le paysage des gestionnaires de mots de passe en 2026 : Bitwarden (Kyle Spearrin, 2016, open-source, palier gratuit avec mise à niveau payante optionnelle) est le choix open-source dominant. 1Password (AgileBits, fondé en 2006) est l'option commerciale soignée. KeePassXC (fork communautaire de KeePass, entièrement hors ligne, coffre stocké dans un fichier) est le choix de ceux qui ne font pas confiance à la synchronisation cloud. iCloud Keychain d'Apple, Google Password Manager et le gestionnaire de Microsoft Edge sont les options par défaut sans friction intégrées à chaque plateforme. Proton Pass (2023) est l'option récente axée sur la vie privée, des créateurs de Proton/ProtonMail. Les gestionnaires intégrés au navigateur offrent le moins de friction ; les gestionnaires dédiés offrent une meilleure synchronisation multiplateforme et des fonctionnalités supplémentaires. La recommandation 2026 : un gestionnaire de mots de passe réputé + un mot de passe unique généré par compte + un mot de passe maître unique et solide (le seul que vous ayez vraiment à retenir) + une clé de sécurité matérielle (YubiKey ou équivalent) pour les comptes à forte valeur.

Quelle est la force de votre mot de passe ?

Un mot de passe de 12 caractères tiré uniformément des 94 caractères ASCII imprimables compte 94¹² ≈ 4,75 × 10²³ valeurs possibles, environ 79 bits d'entropie. Forcer un espace de 79 bits à raison de mille milliards de tentatives par seconde (réalisable avec une plateforme GPU haut de gamme) prend environ 19 000 ans. Chaque caractère supplémentaire multiplie l'espace de recherche par 94, ce qui double le temps de cassage à peu près tous les 1,4 caractère. Un mot de passe de 16 caractères demande environ 1,5 mille milliard d'années à casser au même rythme. À retenir : 12 caractères suffisent pour la plupart des comptes ; 16 et plus conviennent aux mots de passe maîtres, aux clés de chiffrement et aux comptes à forte valeur. L'indicateur de force de ce générateur estime l'entropie à partir du jeu de caractères que vous avez activé et de la longueur choisie.

Questions fréquentes

Ce générateur de mots de passe est-il sécurisé ?

Oui. Nous utilisons la Web Crypto API (crypto.getRandomValues), qui fournit des nombres aléatoires cryptographiquement sûrs. Aucun mot de passe n'est stocké, transmis ou enregistré ; tout s'exécute dans votre navigateur.

Quelle longueur de mot de passe dois-je utiliser ?

Nous recommandons au moins 16 caractères pour les comptes importants. Pour une sécurité maximale (mots de passe maîtres, clés de chiffrement), utilisez 20 à 32 caractères. Plus un mot de passe est long, plus il est difficile à casser.

Dois-je inclure des symboles ?

Oui, quand c'est possible. Les symboles augmentent considérablement le nombre de combinaisons. Certains sites restreignent cependant les caractères autorisés. Si un site refuse les symboles, désactivez cette option et allongez le mot de passe pour compenser.

Pourquoi ne jamais réutiliser un mot de passe ?

Si un site est piraté, les attaquants essaient la même combinaison e-mail / mot de passe sur d'autres sites (attaque par credential stuffing). Utiliser un mot de passe unique par compte garantit qu'une seule fuite ne compromet pas vos autres comptes.

Outils associés