ByteCompress

Générateur de mots de passe

Créez des mots de passe aléatoires cryptographiquement forts de n'importe quelle longueur en utilisant l'API Web Crypto. Personnalisez les ensembles de caractères et la longueur, visualisez le score d'entropie et copiez en un clic.

66
FreeClient-sideNo signup

Des mots de passe faibles ou réutilisés sont responsables de 80 % des violations de données impliquant des piratages, selon le rapport Verizon 2023 sur les enquêtes sur les violations de données. Un mot de passe de 16 caractères combinant majuscules, minuscules, chiffres et symboles a plus de 1028 combinaisons possibles - nécessitant des milliards d'années pour être forcé par brute force avec le matériel actuel. Ce générateur utilise l'API crypto.getRandomValues() du navigateur, le même CSPRNG utilisé par les systèmes d'exploitation et les bibliothèques de sécurité. La publication spéciale NIST 800-63B recommande un minimum de 8 caractères ; les professionnels de la sécurité recommandent largement 16 ou plus. Les mots de passe générés ne sont jamais transmis à un serveur.

Comment générer des mots de passe

  1. Définissez la longueur de mot de passe souhaitée à l'aide du curseur ou du champ de saisie (8-128 caractères).
  2. Sélectionnez les types de caractères à inclure : majuscules, minuscules, chiffres et/ou symboles.
  3. Cliquez sur Générer pour créer un nouveau mot de passe.
  4. Examinez le score d'entropie et l'indicateur de force.
  5. Cliquez sur Copier pour copier le mot de passe dans votre presse-papiers.
  6. Stockez immédiatement le mot de passe généré dans un gestionnaire de mots de passe.

Explication de la force du mot de passe

Entropie et taille de l'ensemble de caractères

La force d'un mot de passe est mesurée en bits d'entropie - le logarithme (base 2) du nombre total de combinaisons possibles. Un mot de passe de longueur L utilisant un ensemble de caractères de taille N a une entropie de L × log₂(N) bits. Tailles des ensembles de caractères : minuscules seulement = 26 ; + majuscules = 52 ; + chiffres = 62 ; + 32 symboles courants = 94. Un mot de passe de 16 caractères provenant de l'ensemble complet de 94 caractères a environ 104,7 bits d'entropie. Le NIST considère que 112 bits d'entropie sont suffisants pour la plupart des applications de sécurité jusqu'en 2030.

Pourquoi la longueur compte plus que la complexité

Ajouter un caractère multiplie l'espace de recherche par la taille de l'ensemble de caractères. Un mot de passe de 20 caractères uniquement en minuscules (~94 bits d'entropie) est plus résistant à la force brute qu'un mot de passe de 10 caractères avec tous les types de caractères (~65 bits). Le NIST SP 800-63B et les chercheurs en sécurité recommandent de privilégier la longueur par rapport aux règles de complexité obligatoires, qui produisent souvent des motifs prévisibles - majuscule en premier, chiffre en dernier, ! à la fin.

Exemple

Mot de passe généré (16 caractères, tous les types de caractères)

kR9#mXv2@TqL5!nW
Longueur :   16 caractères
Entropie :   ~104.7 bits
Ensemble de caractères : 94 (a-z, A-Z, 0-9, symboles)
Temps de craquage : des milliards d'années avec le matériel actuel

Directives NIST SP 800-63B

  • Longueur minimale : 8 caractères pour les mots de passe choisis par l'utilisateur ; autoriser jusqu'à 64 caractères
  • Aucune règle de complexité obligatoire : la révision de 2017 du NIST a supprimé les exigences pour les majuscules, les chiffres et les symboles - ces règles produisent des motifs faibles et prévisibles
  • Aucun changement forcé périodique : la rotation forcée n'est plus recommandée sauf s'il y a des preuves de compromission
  • Vérifiez contre les mots de passe compromis : les mots de passe doivent être vérifiés contre des bases de données comme la liste des mots de passe compromis de HaveIBeenPwned
  • Les phrases de passe sont valides : de longues phrases de passe de mots aléatoires sont explicitement encouragées comme alternative

Meilleures pratiques

  • Utilisez un gestionnaire de mots de passe (1Password, Bitwarden, KeePass) - ne mémorisez pas des mots de passe aléatoires
  • Générez un mot de passe unique pour chaque compte - la réutilisation signifie qu'une violation expose tous les comptes
  • Pour le mot de passe principal d'un gestionnaire de mots de passe, utilisez une phrase de passe de 5 mots ou plus au lieu d'une chaîne de caractères aléatoires
  • Activez l'authentification à deux facteurs sur tous les comptes critiques en plus d'un mot de passe fort

Pour générer des identifiants aléatoires cryptographiquement (pas des mots de passe), utilisez le Générateur UUID. Pour encoder des mots de passe dans des fichiers de configuration ou des en-têtes HTTP, le Encodeur Base64 gère le transport sécurisé des données binaires.

Questions fréquentes

Les mots de passe générés sont-ils stockés ou enregistrés quelque part ?

Non. Les mots de passe sont générés en utilisant crypto.getRandomValues() entièrement dans votre navigateur. Ils ne sont jamais envoyés à un serveur, jamais enregistrés, et disparaissent lorsque vous fermez ou actualisez la page. Ouvrez l'onglet Réseau du navigateur pendant la génération et vous ne verrez aucune requête sortante.

Quelle devrait être la longueur de mon mot de passe ?

Le NIST SP 800-63B fixe un minimum de 8 caractères. Les professionnels de la sécurité recommandent au moins 16 caractères pour la plupart des comptes, et 20 ou plus pour les comptes de grande valeur (email, banque, gestionnaire de mots de passe). Avec un ensemble de 94 caractères, un mot de passe de 16 caractères a environ 105 bits d'entropie - impossible à forcer par brute force avec le matériel actuel ou futur proche.

Devrais-je inclure des symboles dans mon mot de passe ?

Oui, lorsque le service le permet. Inclure des symboles augmente l'ensemble de caractères de 62 à 94 caractères, ajoutant environ 0,66 bits d'entropie par caractère. Au-delà de 16 caractères, cela représente environ 10,5 bits supplémentaires. Le plus grand avantage vient toujours de la longueur : un mot de passe de 20 caractères avec lettres et chiffres est plus fort qu'un mot de passe de 12 caractères avec tous les symboles.

Quelle est la différence entre un mot de passe aléatoire et une phrase de passe ?

Un mot de passe aléatoire est une chaîne de caractères aléatoires optimisée pour une entropie maximale en longueur minimale. Une phrase de passe est une séquence de mots aléatoires (par exemple, correct-horse-battery-staple) qui échange la longueur pour la mémorisation. Une phrase de passe de 5 mots (liste de mots de 7 776 mots) a environ 65 bits d'entropie. Pour les entrées du gestionnaire de mots de passe, utilisez des mots de passe de caractères aléatoires. Pour le mot de passe principal, utilisez une phrase de passe que vous pouvez mémoriser.

Puis-je utiliser ce générateur pour des mots de passe Wi-Fi ou des tokens API ?

Pour le Wi-Fi (WPA2/WPA3), un mot de passe aléatoire de 20 caractères avec tous les types de caractères est excellent - il suffit de le sauvegarder avant de devoir le saisir sur des appareils. Pour les clés SSH et les tokens API, utilisez des commandes de génération dédiées (ssh-keygen, le flux de création de token de votre fournisseur API) plutôt que de générer manuellement des mots de passe.