What makes a password strong?

A strong password combines length (16+ characters), variety (uppercase, lowercase, digits, and symbols), and unpredictability (no dictionary words, keyboard walks, sequential patterns, repeated characters, or date fragments). Length matters most — a long random passphrase often beats a short complex one.

What is entropy and why does it matter?

Entropy measures the unpredictability of a password in bits. Higher entropy means more possible combinations an attacker must try. Each additional character multiplies the number of possibilities by the charset size, which is why length helps so much.

What are the 3 crack-time scenarios shown?

Online (100 guesses/sec) simulates a rate-limited web login. Offline GPU (10 billion/sec) represents a single modern graphics card attacking a leaked hash. GPU cluster (100 billion/sec) represents a dedicated cracking farm. Real attackers are somewhere in between, depending on whether they have a hash or must go through a login form.

Is it safe to type my real password here?

Yes. This tool runs entirely in your browser — no network requests are made and your password is never sent anywhere. You can verify this by disconnecting from the internet and testing. It still works offline.

What score should I aim for?

Aim for a score of 3 (Strong) or 4 (Very Strong) with at least 60 bits of entropy. For critical accounts (email, banking, work), use a password manager to generate and store truly random passwords.

Vérificateur de force — Entropie & temps de crack

Comment fonctionne le vérificateur de force

Tapez un mot de passe pour obtenir un score de force instantané de 0 (Très faible) à 4 (Très fort). Le score est basé sur la longueur, la diversité des caractères (majuscules, minuscules, chiffres, symboles) et la détection de motifs courants ou de caractères séquentiels.

Le temps de craquage estimé est calculé à partir de l'entropie du mot de passe (contenu informationnel) en supposant un attaquant utilisant un GPU moderne à 10 milliards de tentatives par seconde. Toute l'analyse se fait localement dans votre navigateur — votre mot de passe n'est jamais transmis.

Huit détecteurs de motifs et trois scénarios de craquage

L'analyse effectue maintenant huit vérifications de motifs spécifiques : mots de passe courants depuis une liste de 250 entrées avec déleetification l33t (pour que p@ssw0rd ne passe pas), déplacements de clavier comme qwerty et asdf, séquences ascendantes et descendantes de lettres ou chiffres, caractères répétés, et dates dans les formats courants. Vous voyez quels motifs ont été détectés, pas seulement un score. L'entropie est affichée en bits — vous savez ainsi si une phrase de quatre mots à 52 bits est réellement meilleure que votre mélange de 14 caractères à 48 bits (oui).

Le tableau de temps de craquage affiche trois scénarios côte à côte : en ligne limité (100 tentatives par seconde, le débit qu'un formulaire de connexion vous impose), GPU hors ligne (10 milliards par seconde, un rig de craquage dédié de milieu de gamme), et un cluster distribué (100 milliards par seconde). La différence entre ces scénarios distingue « acceptable pour un forum » de « convenable pour un accès professionnel » de « adapté au chiffrement d'une sauvegarde ». Quand votre score est faible, l'outil suggère une phrase de passe alternative, pas un conseil générique, un exemple concret de ce à quoi ressemble une structure plus solide.

Qu'est-ce qui rend un mot de passe fort ?

La longueur est le facteur le plus important. Chaque caractère supplémentaire multiplie l'espace de recherche par la taille de l'ensemble de caractères. Un mot de passe aléatoire de 12 caractères parmi 72 possibles (minuscules + majuscules + chiffres + symboles) représente 72¹² ≈ 19 quadrillions de combinaisons ; le même ensemble à 8 caractères donne 72⁸ ≈ 7 billions — 2 700× moins de tentatives nécessaires. Le NIST SP 800-63B (mis à jour en 2024) recommande officiellement la longueur plutôt que la complexité : les règles de rotation forcée et les exigences de symboles obligatoires ne sont plus recommandées. Ce qui compte, c'est la longueur et l'unicité par site.

L'entropie se mesure en bits. 128 bits d'entropie sont considérés suffisants pour une sécurité à long terme contre toute attaque prévisible. Un mot de passe aléatoire de 20 caractères minuscules seulement (ensemble de 26 caractères) donne log₂(26²⁰) ≈ 94 bits — déjà très solide. Motifs à éviter absolument : déplacements de clavier (azerty, 12345), mots de dictionnaire, informations personnelles (dates de naissance, prénoms) et substitutions leetspeak (p@ssw0rd) — tous ces motifs sont préchargés dans les listes de mots des attaquants.

Les phrases de passe (quatre mots courants aléatoires, style Diceware) offrent environ 44 à 52 bits d'entropie — moins qu'un court mot de passe entièrement aléatoire, mais bien plus mémorables. Une phrase comme « correct cheval batterie agrafe » fait 28 caractères et surpasse la plupart des mots de passe courts complexes en longueur et mémorabilité. Utilisez une phrase de passe pour les comptes que vous devez taper régulièrement ; utilisez un mot de passe aléatoire (stocké dans un gestionnaire) pour tout le reste.

Outil connexe : Générateur de mots de passe — générez un mot de passe ou une phrase secrète cryptographiquement sécurisé en un instant.

Comment fonctionnent les vérificateurs de mots de passe (et leurs limites)

Les estimateurs côté client comme cet outil utilisent des heuristiques : taille de l'ensemble de caractères, longueur, détection de motifs courants, séquences de clavier et recherche dans des dictionnaires. L'algorithme public le plus sophistiqué est zxcvbn (open-source par Dropbox), il simule un attaquant utilisant une liste de mots soigneusement sélectionnée, des règles de substitution courantes et des motifs spatiaux de clavier pour produire une estimation réaliste du temps de craquage plutôt qu'un simple score basé sur le compte de caractères.

Ces outils estiment le temps de craquage dans un contexte d'attaque hors ligne — un scénario où un attaquant possède déjà le hash de votre mot de passe et effectue des tentatives sur son propre matériel sans limitation de débit. C'est bien plus agressif que les tentatives de connexion en ligne limitées par le serveur. Les vitesses de craquage varient énormément selon l'algorithme de hachage : un rig GPU moderne craque les hashs MD5 à des dizaines de milliards de tentatives par seconde, mais seulement environ 10 000 tentatives bcrypt par seconde. C'est pourquoi les systèmes sécurisés utilisent des algorithmes de hachage lents (bcrypt, Argon2, scrypt).

Les plus grandes menaces réelles ne sont pas la force brute mais le phishing, le credential stuffing (des attaquants essayant des paires identifiant/mot de passe volées d'autres fuites) et les logiciels malveillants. Un mot de passe unique de 20 caractères n'offre presque aucune protection contre le phishing — vous devez toujours vérifier le site sur lequel vous vous connectez. Utilisez un gestionnaire de mots de passe pour générer et remplir automatiquement des identifiants uniques par site : cela élimine entièrement le credential stuffing.

Voir aussi : Générateur de mots de passe pour des mots de passe cryptographiquement sécurisés, et notre Générateur de nombres aléatoires pour comprendre le vrai aléatoire.

L'entropie expliquée : les bits et ce qu'ils vous apportent

L'entropie d'un mot de passe mesure l'imprévisibilité en bits — spécifiquement, le logarithme en base 2 du nombre total de mots de passe possibles d'une structure donnée. 10 bits d'entropie signifie 2¹⁰ = 1 024 combinaisons possibles. 20 bits signifie ~1 million. 40 bits signifie ~1 billion. 80 bits signifie environ 1,2 × 10²⁴ — à 10 milliards de tentatives par seconde (un rig GPU hors ligne capable), épuiser cet espace de recherche prendrait plus de 3,8 millions d'années. En pratique, 80 bits d'entropie réelle est effectivement incassable par tout matériel prévisible.

La taille de l'ensemble de caractères détermine l'entropie par caractère : un mot de passe utilisant uniquement des lettres minuscules puise dans 26 caractères, donnant log₂(26) ≈ 4,7 bits par caractère. Ajouter des majuscules double l'ensemble à 52 caractères : log₂(52) ≈ 5,7 bits par caractère — 1 bit de gain par caractère. Ajouter des chiffres (62 au total) : log₂(62) ≈ 5,95 bits. Ajouter 32 symboles courants (94 au total) : log₂(94) ≈ 6,55 bits. Les calculs révèlent pourquoi la longueur compte bien plus que la complexité : passer de 10 à 16 caractères à 4,7 bits chacun apporte 28,2 bits d'entropie ; ajouter un ensemble de symboles à un mot de passe minuscule de 10 caractères n'apporte que 18,5 bits.

Ces chiffres d'entropie supposent une vraie randomisation — chaque caractère choisi indépendamment avec une probabilité égale dans l'ensemble complet de caractères. Les motifs effondrent l'entropie de façon drastique. Un mot de passe comme « Été2024! » fait 8 caractères avec majuscules, chiffres et symbole, suggérant une entropie d'ensemble de caractères d'environ 52 bits. Mais en pratique, il a une entropie structurelle quasi nulle : « Été » est dans chaque dictionnaire d'attaquant avec variations saisonnières, « 2024 » est l'année en cours, et « ! » est le symbole le plus souvent ajouté aux mots de dictionnaire. L'entropie effective est peut-être 15–20 bits — un attaquant utilisant des listes de mots à mutation basée sur des règles le craque en quelques secondes.

Le NIST SP 800-63B utilise l'entropie comme cadre conceptuel mais met explicitement en garde contre l'utilisation de règles de composition de caractères comme substitut à l'entropie, car les utilisateurs satisfont de manière prévisible les règles de composition avec des motifs à faible entropie (mettre en majuscule la première lettre, ajouter ! à la fin, substituer 0 à o). Les vérificateurs affichant une coche verte pour « a une majuscule, un chiffre et un symbole » mesurent les conditions nécessaires à l'entropie, pas l'entropie elle-même. Cet outil affiche à la fois l'estimation brute en bits et les détections de motifs qui réduisent l'entropie effective.

Motifs courants qui ruinent la force d'un mot de passe

Les déplacements de clavier figurent parmi les premières séquences que les attaquants essaient : azerty, qsdf, wxcv, 1234 et leurs variantes (azerty123, Azerty1!). Ils semblent forts visuellement — 9+ caractères avec casse variée et chiffres — mais se trouvent trivialement dans les listes de mots d'attaquants sous forme de motifs d'adjacence clavier. Toute séquence de trois touches adjacentes ou plus dans une disposition AZERTY/QWERTY standard est signalée par ce vérificateur. La correction est simple : si vous allez de gauche à droite sur le clavier, vous ne générez pas un mot de passe.

Les substitutions leetspeak ajoutent très peu d'entropie réelle. Substituer 3 à e, 0 à o, @ à a, 1 à l ou $ à s ajoute au maximum 5 à 6 bits d'entropie pour toute la transformation (car il n'existe qu'une poignée de règles de substitution courantes, et les attaquants les préchargent toutes). « p@ssw0rd » est cracké dans le même temps que « password » par tout outil d'attaque moderne — ces substitutions figurent dans les listes de mots depuis le début des années 2000. La liste de motifs du vérificateur inclut la déleetification leetspeak, donc ces substitutions sont détectées et signalées.

Les mots de dictionnaire réduisent l'entropie à la taille du dictionnaire, pas à celle de l'ensemble de caractères. L'anglais compte environ 170 000 mots en usage actif ; le dictionnaire de mots de passe d'un attaquant contient typiquement 5 à 20 millions d'entrées (mots, noms, phrases, mots de passe de fuites précédentes). Même des mots obscurs comme « zymurgie » ou « quorum » figurent dans ces listes. Un mot de passe de 10 caractères composé d'un mot obscur plus deux chiffres a une entropie effective de log₂(20 000 000 × 100) ≈ 31 bits — craquable en quelques secondes à la vitesse GPU hors ligne.

Les dates et années sont extrêmement courantes et extrêmement devinables. Les dates de naissance, anniversaires, années de remise de diplôme et l'année en cours figurent toutes dans les ensembles de règles des attaquants. Formats détectés : JJMMAAAA, MMJJAAAA, AAAAMMJJ, AAAA et variantes à deux chiffres. Si votre mot de passe se termine par une année (MotDePasse2024, Été23), l'année apporte environ log₂(50) ≈ 5,6 bits si les attaquants essaient les années 1975–2025 — presque rien. Les prénoms, noms d'animaux et équipes sportives suivent la même logique : ils semblent personnels et uniques, mais figurent tous dans des listes de mots d'attaque ciblées assemblées à partir de profils de réseaux sociaux.

Quand ce vérificateur est trompeur

Cet outil évalue la force structurelle — l'entropie et l'analyse de motifs de la chaîne de mot de passe que vous tapez. Il ne peut pas vérifier si votre mot de passe a déjà été exposé dans une fuite de données. Un mot de passe structurellement fort comme « Correct#Cheval7Batterie » obtient un score de 4/4 ici, mais s'il figurait dans une liste de fuite (ce qui est maintenant le cas, car il est dans cet exemple), un attaquant possédant cette liste le craquera instantanément. Pour vérifier l'exposition réelle aux fuites, utilisez l'API de mot de passe de Have I Been Pwned (modèle k-anonymat — seuls les 5 premiers caractères hexadécimaux de votre hash SHA-1 sont envoyés, pas le mot de passe lui-même).

L'entropie des phrases de passe est plus fiable que ce que l'estimateur suggère pour les mots de passe mémorables. Une phrase de passe Diceware de quatre mots choisis dans la liste EFF (7 776 mots) a une entropie de log₂(7776⁴) = 51,7 bits — l'estimateur ici peut lui attribuer un score plus faible s'il détecte les mots individuels comme des mots de dictionnaire et les pénalise. Mais cette pénalité reflète la correspondance de motifs pour les attaques en ligne, pas le modèle de sécurité réel de Diceware, qui est purement combinatoire (51,7 bits reste valide que chaque mot soit un mot de dictionnaire ou non). Si vous utilisez Diceware, le calcul d'entropie correct est log₂(taille_liste_mots^nombre_mots).

L'authentification à deux facteurs (2FA) réduit considérablement l'importance pratique de la force du mot de passe pour la sécurité des comptes en ligne. Un compte protégé par TOTP (Google Authenticator, Authy) ou une clé matérielle (YubiKey) ne peut pas être consulté avec un seul mot de passe volé — l'attaquant a besoin des deux. Cela signifie qu'un mot de passe unique raisonnablement fort de 12 caractères avec 2FA activé est plus sécurisé qu'un mot de passe exceptionnel de 24 caractères sans 2FA. Activer le 2FA sur les comptes critiques (courriel, banque, SSO professionnel) devrait être la première priorité, avant d'optimiser les scores de force des mots de passe.

Enfin, ce vérificateur ne peut pas évaluer la réutilisation des mots de passe — sans doute la pratique la plus dangereuse. Un mot de passe qui obtient 4/4 ici mais est utilisé sur 15 sites différents est catastrophiquement risqué : une seule fuite de l'un de ces sites expose tous vos comptes au credential stuffing. La seule solution évolutive est un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) qui génère et stocke un mot de passe aléatoire unique par site. Les scores de force sont secondaires une fois que vous utilisez des mots de passe uniques partout.

Questions fréquentes

Qu'est-ce qui rend un mot de passe fort ?

Un mot de passe fort combine longueur (16+ caractères), variété (majuscules, minuscules, chiffres et symboles) et imprévisibilité (pas de mots de dictionnaire, de séquences ou de substitutions courantes comme 3 pour e).

Qu'est-ce que l'entropie ?

L'entropie mesure l'imprévisibilité d'un mot de passe en bits. Une entropie plus élevée signifie plus de combinaisons possibles qu'un attaquant doit essayer. Chaque caractère supplémentaire multiplie approximativement le nombre de possibilités par la taille de l'ensemble de caractères.

Est-il sécuritaire de saisir mon mot de passe ici ?

Oui. Cet outil s'exécute entièrement dans votre navigateur — aucune requête réseau n'est effectuée et votre mot de passe n'est jamais envoyé nulle part. Vous pouvez vérifier cela en vous déconnectant d'Internet et en testant.

Quel score devrais-je viser ?

Visez un score de 3 (Fort) ou 4 (Très fort) pour les comptes importants. Pour les comptes critiques (courriel, banque, travail), envisagez également d'utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe vraiment aléatoires.

Combien de temps faut-il pour craquer un mot de passe fort ?

Le temps de craquage dépend fortement de l'algorithme de hachage utilisé par le site stockant votre mot de passe. Un mot de passe aléatoire de 12 caractères haché avec bcrypt (facteur de coût 12) prendrait des siècles même avec du matériel GPU dédié — bcrypt est intentionnellement lent, à environ 10 000 tentatives par seconde par GPU. Le même mot de passe haché avec MD5 (un algorithme faible encore utilisé par certains anciens systèmes) pourrait être cracké en quelques heures à quelques jours à des milliards de tentatives par seconde. C'est pourquoi les systèmes sécurisés utilisent des algorithmes de hachage lents (bcrypt, Argon2, scrypt) — et pourquoi utiliser un mot de passe unique par site est essentiel : une seule fuite ne peut pas compromettre tous vos comptes.

Les phrases de passe sont-elles plus fortes que les mots de passe ?

Cela dépend de la longueur et du caractère aléatoire. Quatre mots courants vraiment aléatoires (style Diceware) donnent environ 44 à 52 bits d'entropie — moins qu'un mot de passe entièrement aléatoire de 12 caractères (~72 bits) mais bien plus fort qu'un court mot de passe complexe comme « P@ss1! » (~30 bits). Les phrases de passe sont aussi bien plus faciles à mémoriser et à taper correctement. Le NIST recommande désormais les phrases de passe pour les identifiants mémorisés, à condition qu'elles soient longues (15+ caractères) et non basées sur des paroles de chansons, des citations ou des phrases prévisibles — l'aléatoire est l'exigence clé, pas seulement la longueur.

Pourquoi ajouter un symbole améliore-t-il à peine mon score ?

Passer d'un ensemble de 62 caractères (minuscules + majuscules + chiffres) à un ensemble de 94 (en ajoutant 32 symboles) n'ajoute que log₂(94) − log₂(62) ≈ 0,6 bits d'entropie par caractère. Plus important : si vous ajoutez le symbole à la fin d'un mot (MotDePasse!) ou le substituez à une lettre (P@ssDePasse), le motif structurel est déjà connu des attaquants — le gain d'entropie effectif est quasi nul. L'entropie réelle nécessite un placement aléatoire, pas seulement une présence.

Cet outil envoie-t-il mon mot de passe à un serveur ?

Non. Toute l'analyse s'exécute entièrement dans votre navigateur via JavaScript. Aucune requête réseau n'est effectuée lorsque vous saisissez un mot de passe. Vous pouvez le vérifier en ouvrant l'onglet Réseau des outils de développement de votre navigateur pendant le test — vous verrez zéro requête déclenchée par votre frappe. L'outil fonctionne aussi complètement hors ligne après le chargement initial de la page. C'est intentionnel : un vérificateur de mots de passe qui enverrait votre mot de passe à un serveur serait lui-même un risque de sécurité.

Mon mot de passe a un score élevé ici. Est-il sûr pour autant ?

Pas nécessairement. Un score de force structurelle élevé signifie que votre mot de passe est difficile à forcer par brute force ou à craquer depuis un dictionnaire — cela ne signifie pas qu'il est sûr dans tous les scénarios. Il ne peut pas vous dire : si le mot de passe figure dans une base de données de fuites connues (vérifiez haveibeenpwned.com) ; si vous le réutilisez sur plusieurs sites (la réutilisation permet le credential stuffing) ; si le site qui le stocke utilise un algorithme de hachage faible comme MD5 ; ni si vous l'avez saisi sur un site de phishing. Considérez ce score comme un signal parmi d'autres, pas comme une garantie de sécurité complète.