Générateur de mots de passe sécurisé : gratuit, hors ligne, cryptographiquement aléatoire

Q: Ce générateur de mots de passe est-il vraiment sécurisé ?

Oui. Nous utilisons exclusivement la Web Crypto API (crypto.getRandomValues), le générateur de nombres aléatoires cryptographiquement sûr (CSPRNG) fourni par le navigateur. Le rejection sampling vient en complément, ce qui évite le biais modulo typique d'autres implémentations, de sorte que chaque caractère autorisé ait exactement la même probabilité d'apparition.

Q: Que sont les « caractères ambigus » ?

Des caractères tels que l (L minuscule), 1, I, O et 0 se ressemblent fortement selon la police. Quiconque recopie un mot de passe depuis un papier ou un écran a tout intérêt à exclure ces caractères. L'entropie diminue légèrement, le confort augmente.

Générez en un clic des mots de passe forts directement dans votre navigateur. Par défaut 32 caractères, aléatoire cryptographiquement sûr (CSPRNG), aucun aller-retour serveur, aucun stockage, aucun suivi.

Utilise crypto.getRandomValues avec rejection sampling, afin que chaque caractère autorisé ait exactement la même probabilité.

Copié

Force: ...

...

Longueur

Recommandé : 20+ caractères pour les comptes sensibles

Majuscules (A bis Z)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Minuscules (a bis z)

a b c d e f g h i j k l m n o p q r s t u v w x y z

Chiffres (0 bis 9)

Chaque chiffre, y compris 0, avec exactement la même probabilité (rejection sampling, sans biais modulo).

Caractères spéciaux

! @ # $ % & * - _ = + ? . , : ; ( ) [ ] { } / \ | ~ ^

Inclure Y et Z

Utile lorsque le mot de passe doit être saisi à la fois sur des claviers QWERTZ et QWERTY.

Exclure les caractères ambigus

Supprime par exemple l 1 I O 0, pratique en cas de saisie manuelle.

Les paramètres ne sont pas enregistrés

À quel point « aléatoire » est aléatoire ? Ce générateur utilise la Web Crypto API de votre navigateur (CSPRNG) et un procédé de rejection sampling qui évite le biais modulo classique. Chaque caractère autorisé, qu'il s'agisse de A, z, 5 ou 0, a ainsi exactement la même probabilité d'apparition. Aucune communication réseau n'a lieu.

Ce qui distingue ce générateur de mots de passe

De nombreux générateurs en ligne créent les mots de passe côté serveur (le mot de passe quitte votre machine) ou utilisent Math.random(), qui n'est pas cryptographiquement sûr. Ces deux approches sont inadaptées pour une sécurité réelle.

Vrai aléatoire : crypto.getRandomValues fournit des nombres cryptographiquement fiables, complétés par du rejection sampling contre le biais modulo.
Totalement hors ligne : aucun fetch, aucun script tiers, aucun CDN, aucun cookie, aucun LocalStorage.
Fichier unique : uniquement HTML, CSS et JavaScript. Vous pouvez enregistrer la page et l'utiliser sans Internet.
Transparent : le code source est visible et lisible (clic droit, « Afficher le code source de la page »).
Aucun stockage : après la fermeture de l'onglet, le mot de passe disparaît, aucun historique, aucune trace.

Comment choisir un mot de passe vraiment sécurisé

La règle la plus importante d'abord : la longueur prime sur la complexité. Un long mot de passe est mathématiquement plus sûr qu'un court avec beaucoup de caractères spéciaux.

Au moins 16 caractères pour les comptes ordinaires, 24 à 32 caractères pour les e-mails, le banking, les mots de passe maîtres et les accès serveur.
Un mot de passe distinct par service. Si un fournisseur est piraté, vos autres comptes restent sécurisés.
Utilisez un gestionnaire de mots de passe (par ex. KeePassXC, Bitwarden, 1Password). Vous n'avez à mémoriser qu'un seul mot de passe maître robuste.
Activez l'authentification à deux facteurs, partout où c'est possible.
Ne réutilisez jamais le même mot de passe et ne construisez jamais selon un schéma trivial (par ex. Ete2024!), ce que les attaques par dictionnaire cassent en quelques secondes.

Combien de temps un attaquant met-il à le casser ?

Lors d'une attaque hors ligne (un pirate possède une empreinte de mot de passe leakée et essaie localement toutes les combinaisons), des rigs GPU modernes peuvent tester environ 1 billion de tentatives par seconde (pour des fonctions de hachage faibles comme MD5 ou SHA-1). Avec de bons algorithmes comme bcrypt ou Argon2, c'est nettement moins, mais nous restons ici sur une estimation prudente.

Longueur	Jeu de caractères	Combinaisons	Temps de cassage (1 bil./s)
8	minuscules uniquement	2 · 10¹¹	0,2 seconde
8	lettres + chiffres	2 · 10¹⁴	3 minutes
12	lettres + chiffres	3 · 10²¹	100 ans
16	lettres + chiffres	5 · 10²⁸	1,5 milliard d'années
20	lettres + chiffres	7 · 10³⁵	10²² ans
32	lettres + chiffres (par défaut)	2 · 10⁵⁷	pratiquement illimité

Valeurs arrondies, basées sur 62 caractères possibles (a à z, A à Z, 0 à 9) et 10¹² tentatives par seconde.

Questions fréquentes

Ce générateur de mots de passe est-il vraiment sécurisé ?

Oui. Nous utilisons exclusivement la Web Crypto API (crypto.getRandomValues), le générateur de nombres aléatoires cryptographiquement sûr (CSPRNG) fourni par le navigateur. Le rejection sampling vient en complément, ce qui évite le biais modulo typique d'autres implémentations, de sorte que chaque caractère autorisé ait exactement la même probabilité d'apparition.

Mes mots de passe sont-ils enregistrés ou transmis ?

Non. Toute la génération s'exécute localement dans votre navigateur. Aucune requête réseau, aucun cookie, aucun LocalStorage et aucun journal.

Quelle longueur doit avoir un mot de passe sécurisé ?

Pour des comptes en ligne ordinaires, 16 caractères avec des jeux mixtes suffisent. Pour des accès critiques comme l'e-mail, le banking ou les mots de passe maîtres, nous recommandons 24 à 32 caractères. Le réglage par défaut de ce générateur est de 32 caractères, ce qui donne plus de 190 bits d'entropie et reste robuste face aux attaques futures.

Les caractères spéciaux sont-ils indispensables ?

Pas obligatoirement. La longueur prime sur la complexité : un mot de passe de 24 caractères composé de lettres et chiffres est nettement plus sûr qu'un mot de passe de 8 caractères avec des caractères spéciaux. Les caractères spéciaux sont utiles lorsque le service les exige ou que la longueur est limitée.

Que signifie l'option « Inclure Y et Z » ?

Sur les claviers QWERTZ allemands, y et z sont inversés par rapport aux claviers QWERTY anglais. Ceux qui saisissent parfois leurs mots de passe sur des claviers anglais peuvent exclure ces lettres pour éviter les fautes de frappe.

Que sont les « caractères ambigus » ?

Des caractères comme l, 1, I, O et 0 se ressemblent fortement selon la police. Quiconque recopie un mot de passe depuis un papier ou un écran a tout intérêt à exclure ces caractères.

Le générateur fonctionne-t-il hors ligne ?

Oui. Après le premier chargement, vous pouvez utiliser la page sans connexion Internet. Vous pouvez enregistrer la page localement via « Enregistrer sous » et l'utiliser ensuite.

Quels navigateurs sont pris en charge ?

Tous les navigateurs modernes (Chrome, Firefox, Edge, Safari, Brave, Opera) à partir de 2017 environ. La prise en charge de la Web Crypto API est requise.

Tous les produits KernelHost

Besoin de plus que des outils ? Découvrez notre offre d'hébergement commercial.

KVM-Rootserver à partir de 4,99 €/mois Dedicated-Server à partir de 69,99 €/mois Minecraft-Server à partir de 4,00 €/mois Webhosting à partir de 3,99 €/mois Private VPN-Server IP dédiée Protection DDoS 3,2 Tbps Arbor