Are the generated passwords truly random?

Yes. The generator uses crypto.getRandomValues() — the same cryptographic random number generator your browser uses for HTTPS. This is fundamentally different from Math.random(), which is not cryptographically secure. The output is indistinguishable from true randomness for practical purposes.

Is it safe to generate passwords in a browser?

Yes — everything runs locally on your device. No password is ever sent to a server, logged, or stored anywhere outside your clipboard. You can even load this page, disconnect from the internet, and the generator will continue to work.

How long should my password be?

16 characters is the recommended minimum for most accounts. 12 characters is the absolute floor for anything important. For critical accounts — email, banking, primary password manager — aim for 20 or more characters.

Is a passphrase better than a password?

They solve different problems. A random 16-character password is shorter and stronger per character but hard to memorize — store it in a password manager. A Diceware passphrase of 5–6 random words is longer but memorable — use it where you type it daily (device login, password manager master password). Both defeat brute force.

Do I still need strong passwords if I use 2FA?

Yes. 2FA is a second layer, not a replacement. If your password is weak and reused, attackers who get it via a breach will still trigger the 2FA prompt — which is where phishing and SIM-swap attacks happen. A strong unique password plus 2FA is meaningfully harder to attack than either alone. Hardware security keys and passkeys raise the bar further by being phishing-resistant.

Which password manager should I use?

Bitwarden (free, open-source) is the default recommendation for most people. 1Password (paid) offers a more polished experience and better family plans. KeePass (free, offline) is the pick for privacy purists willing to manage sync themselves. Avoid storing passwords in a browser alone — weaker multi-device sync, less mature security review, and no cross-browser portability.

Générateur de mot de passe + phrase de passe (xkcd) + bits d'entropie

Comment fonctionne le générateur de mots de passe

Les mots de passe sont générés entièrement dans votre navigateur via crypto.getRandomValues() — le même moteur cryptographique utilisé pour HTTPS. Aucune donnée n'est envoyée à un serveur. Ajustez la longueur et les types de caractères avec les options ci-dessous ; la barre de force évalue le résultat en fonction de l'entropie (longueur × diversité des caractères).

Bonnes pratiques de sécurité des mots de passe

Utilisez au moins 16 caractères. La longueur est le facteur le plus important. Un mot de passe de 16 caractères prend des ordres de grandeur plus longtemps à forcer qu'un de 10 caractères. Visez 20+ pour tout ce qui est important.
Ne réutilisez jamais un mot de passe. Si un service est compromis, les attaquants testent les mêmes identifiants partout ailleurs. Des mots de passe uniques limitent les dégâts.
Utilisez un gestionnaire de mots de passe. Personne ne peut mémoriser 50 mots de passe uniques de 20 caractères. Des outils comme Bitwarden (gratuit, open-source), 1Password et KeePass les stockent et les remplissent automatiquement de façon sécurisée.
Activez l'authentification à deux facteurs (2FA) partout où c'est possible. Même si quelqu'un obtient votre mot de passe, un second facteur bloque l'accès. Commencez par les comptes e-mail, bancaires et réseaux sociaux.

La mathématique de l'entropie des mots de passe

L'entropie mesure à quel point un mot de passe est imprévisible. Formellement, c'est le logarithme en base 2 du nombre total de mots de passe possibles de cette longueur et de ce jeu de caractères. Si vous tirez d'un alphabet de N symboles pour construire un mot de passe de longueur L, l'entropie est L × log₂(N) bits. Plus de bits = exponentiellement plus difficile à forcer.

Tailles concrètes d'alphabet : lettres minuscules = 26, minuscules + majuscules = 52, alphanumérique = 62, alphanumérique + symboles courants = 94. Un mot de passe alphanumérique de 8 caractères a environ 48 bits d'entropie — craquable en heures sur un cluster GPU moderne. Un mot de passe de 16 caractères du jeu complet de 94 symboles atteint ~105 bits — irréalisable à forcer en une vie humaine, même avec des ressources d'État.

Estimations approximatives du temps de craquage contre un attaquant hors-ligne à 1 billion d'essais par seconde (adversaire bien doté, ~2026) :

8 car., alphanumérique (48 bits) → quelques heures
10 car., jeu complet 94 (65 bits) → ~12 jours
12 car., jeu complet 94 (78 bits) → ~300 ans
16 car., jeu complet 94 (105 bits) → plus long que l'âge de l'univers
20 car., jeu complet 94 (131 bits) → absurdement irréalisable

Réserve importante : ces chiffres supposent que le mot de passe est vraiment aléatoire, jamais réutilisé, et que les attaquants ne l'ont pas via fuite ou phishing. Les compromissions réelles proviennent presque toujours de hashes volés, de credential stuffing ou de phishing — pas de force brute contre un mot de passe bien choisi.

Comment les mots de passe sont réellement compromis

Forcer un bon mot de passe est rarement la méthode des attaquants. Les vecteurs d'attaque réels, classés par fréquence :

Credential stuffing. Un attaquant prend des noms d'utilisateurs et mots de passe fuités d'une brèche et les teste sur d'autres services. Ça fonctionne parce que les gens réutilisent leurs mots de passe. C'est pourquoi des mots de passe uniques par site comptent plus que la longueur en pratique.
Hameçonnage (phishing). On vous piège à taper votre mot de passe sur une fausse page de connexion. Aucune longueur de mot de passe ne protège contre ça — seule la 2FA, les clés matérielles ou les passkeys le font. Si un courriel vous demande de vous connecter, allez toujours directement sur le site plutôt que de cliquer.
Attaques par dictionnaire et hybrides. Essaie les mots de passe courants et leurs variantes (« Password123 », « qwerty!2026 », votre équipe préférée + année courante). Bat tout mot de passe qui semble « complexe » mais suit un motif. Les générateurs aléatoires déjouent ça complètement.
Compromission et craquage de hashes. Un attaquant vole une base de données de hashes de mots de passe et les craque hors ligne. Les GPUs modernes peuvent essayer des milliards de hashes par seconde, surtout contre des fonctions de hashage dépassées (MD5, SHA-1, SHA-256 sans sel). C'est pourquoi la longueur compte — c'est la seule chose qui évolue exponentiellement contre le craquage de hashes.
Keyloggers et logiciels malveillants. Un logiciel malveillant capture les frappes clavier ou le contenu du presse-papiers. Si votre appareil est compromis, aucun mot de passe n'est en sécurité. Gardez l'OS et le navigateur à jour, et évitez les téléchargements douteux — votre gestionnaire de mots de passe ne vous sauvera pas d'un malware qui tourne avec vos droits.

Phrases de passe vs mots de passe

Une phrase de passe est plusieurs mots aléatoires enchaînés — « correct-horse-battery-staple », rendu célèbre par xkcd 936. Quatre mots aléatoires tirés d'un dictionnaire de 2 000 mots donnent ~44 bits d'entropie ; cinq mots donnent ~55 ; six mots donnent ~66. Mémorable, mais il faut plus de mots pour égaler l'entropie d'un mot de passe aléatoire de 16 caractères.

Diceware — lancer des dés physiques pour choisir des mots dans une liste de 7 776 mots — est la référence pour générer des phrases de passe dont vous êtes sûr qu'elles ont été choisies aléatoirement (plutôt que par un ordinateur en lequel vous ne feriez pas entièrement confiance). Six mots Diceware donnent ~77 bits d'entropie : assez fort pour tout sauf des menaces de niveau étatique, et plus facile à taper qu'une chaîne aléatoire de 13 caractères.

Règle pratique : utilisez un mot de passe aléatoire de 16+ caractères stocké dans un gestionnaire pour les sites où vous n'avez pas à le taper souvent. Utilisez une phrase de passe Diceware pour votre mot de passe principal (celui qui déverrouille le gestionnaire) et la connexion de votre appareil — là où vous devez le taper quotidiennement sans pouvoir compter sur l'autofill. N'utilisez jamais de phrase de passe qui soit une vraie phrase, une parole de chanson ou une citation — elles apparaissent dans les corpus de fuites et sont essayées en premier.

Au-delà des mots de passe : 2FA, passkeys et la suite

Même un mot de passe parfait peut être hameçonné ou capturé. Ajouter un second facteur d'authentification — quelque chose au-delà de connaître le mot de passe — annule la plupart des attaques réelles. Les couches, du plus faible au plus fort :

Codes SMS (2FA). Mieux que rien, mais vulnérables aux attaques de SIM-swap. À utiliser si c'est la seule option — ça stoppe le credential stuffing net.
Applications d'authentification (TOTP). Google Authenticator, Authy, 1Password, ou celle intégrée à votre gestionnaire de mots de passe. Génère un code à 6 chiffres toutes les 30 secondes basé sur un secret partagé. Beaucoup plus difficile à intercepter que les SMS.
Clés de sécurité matérielles (FIDO2/WebAuthn). Dispositifs physiques USB ou NFC — YubiKey, SoloKey, Titan. Cryptographiquement liées à l'origine du site, donc impossibles à hameçonner. La référence pour les comptes de grande valeur.
Passkeys. Un standard plus récent (Apple, Google, Microsoft le supportent tous depuis 2024+) qui remplace entièrement les mots de passe. Votre appareil stocke une paire de clés cryptographiques ; vous vous authentifiez par biométrie ou PIN. Résistant au phishing par conception. Là où elles sont offertes, les passkeys battent les mots de passe sur la sécurité ET le confort — attendez-vous à ce qu'elles remplacent progressivement les mots de passe sur la prochaine décennie.

Ordre de priorité pour les vraies personnes : activez la 2FA d'abord sur votre courriel (si quelqu'un contrôle votre courriel, il peut réinitialiser tous les autres comptes), puis la banque, puis votre gestionnaire de mots de passe, puis les réseaux sociaux. Une clé matérielle ou passkey pour votre courriel et votre gestionnaire de mots de passe est la mise à niveau de sécurité la plus rentable disponible aujourd'hui.

Pour ceux qui ont cherché « combien de temps pour craquer un mot de passe » et voulaient de vraies réponses

La barre d'entropie affiche le nombre de bits de votre mot de passe et une estimation du temps de craquage en langage clair — pas « fort » ou « faible », mais un ordre de grandeur réel contre un attaquant hors ligne à un billion d'essais par seconde. Le mode phrase de passe génère quatre mots depuis une liste de 200 mots, à la xkcd. Quatre mots, c'est facile à taper. Ce n'est pas l'option la plus forte en bits, mais c'est mémorable pour les endroits où vous devez le taper quotidiennement sans pouvoir compter sur l'autofill. Vous pouvez aussi générer jusqu'à 10 mots de passe à la fois si vous voulez choisir celui qui est le moins pénible à taper.

Le toggle de caractères ambigus retire 0, O, 1, l et I — les cinq caractères responsables de 80 % des frustrations « mot de passe incorrect » quand on tape sur un téléphone ou qu'on copie à la main. Il est désactivé par défaut car retirer des caractères réduit légèrement votre jeu de caractères. Activez-le quand vous savez que le mot de passe sera tapé manuellement, pas collé. Pas de cloud. Pas de compte. Rien ne quitte votre navigateur.

Questions fréquentes

Les mots de passe générés sont-ils vraiment aléatoires ?

Oui. Le générateur utilise crypto.getRandomValues() — le même générateur de nombres aléatoires cryptographiques que votre navigateur utilise pour HTTPS. C'est fondamentalement différent de Math.random(), qui n'est pas cryptographiquement sécurisé. Le résultat est indiscernable d'un vrai aléatoire dans la pratique.

Est-ce vraiment sécurisé de générer des mots de passe dans un navigateur ?

Oui — tout s'exécute localement sur votre appareil. Aucun mot de passe n'est envoyé à un serveur, enregistré ou stocké en dehors de votre presse-papiers. Vous pouvez même charger cette page, vous déconnecter d'Internet, et ça continuera de fonctionner. Le seul vrai risque serait un logiciel malveillant déjà présent sur votre machine.

Quelle longueur doit vraiment avoir mon mot de passe ?

16 caractères est le minimum recommandé pour la plupart des comptes. 12 est le plancher absolu pour tout ce qui compte. Pour les comptes critiques — e-mail, banque, gestionnaire de mots de passe — visez 20 ou plus. La longueur supplémentaire ne vous coûte rien (votre gestionnaire s'en souvient) et rend les attaques par force brute irréalisables.

Une phrase de passe est-elle meilleure qu'un mot de passe ?

Elles résolvent des problèmes différents. Un mot de passe aléatoire de 16 caractères est plus court et plus fort par caractère, mais difficile à mémoriser — stockez-le dans un gestionnaire. Une phrase de passe Diceware de 5–6 mots aléatoires est plus longue mais mémorable — utilisez-la là où vous devez la taper quotidiennement (connexion de votre appareil, mot de passe principal du gestionnaire). Les deux déjouent la force brute ; le choix dépend de l'endroit où vous la tapez.

Ai-je toujours besoin de mots de passe forts si j'utilise la 2FA ?

Oui. La 2FA est une couche supplémentaire, pas un remplacement. Si votre mot de passe est faible et réutilisé, les attaquants qui l'obtiennent via une fuite déclencheront quand même la demande 2FA — c'est là qu'arrivent les attaques de phishing et de SIM-swap. Un mot de passe fort et unique plus la 2FA est substantiellement plus difficile à attaquer que l'un des deux seul. Les clés matérielles et passkeys montent encore la barre en étant résistantes au phishing.

Quel gestionnaire de mots de passe devrais-je utiliser ?

Bitwarden (gratuit, open-source, hébergé ou auto-hébergé) est la recommandation par défaut pour la plupart des gens — des applis solides, un modèle de sécurité transparent. 1Password (payant) offre une expérience plus peaufinée et de meilleurs plans famille. KeePass (gratuit, hors ligne) est le choix des puristes de la vie privée prêts à gérer la synchronisation eux-mêmes. Évitez de stocker les mots de passe uniquement dans un navigateur — c'est pratique mais offre une synchronisation multi-appareils plus faible, une révision de sécurité moins mature, et aucune portabilité inter-navigateurs.