Outils de Mot de Passe

Générez des mots de passe sécurisés et vérifiez leur force

Générateur de mot de passe
Force :
Guide sur la force des mots de passe
Mot de passe faible
  • Moins de 8 caractères
  • Un seul type de caractère
  • Contient des mots ou motifs courants
  • Caractères séquentiels (ex. 1234)
Mot de passe moyen
  • 8 à 11 caractères
  • Deux ou trois types de caractères
  • Pas de mots du dictionnaire
Mot de passe fort
  • 12 caractères ou plus
  • Mélange de tous les types de caractères
  • Imprévisible et aléatoire
Conseils de sécurité
● Bonnes pratiques
  • Utilisez un mot de passe différent par compte
  • Changez les mots de passe régulièrement (tous les 3-6 mois)
  • Utilisez un gestionnaire de mots de passe
  • Activez la double authentification quand disponible
  • Utilisez des phrases de passe (plusieurs mots avec espaces)
● À éviter
  • Informations personnelles (noms, dates de naissance, etc.)
  • Mots du dictionnaire sans modification
  • Substitutions simples (ex. « p@ssw0rd »)
  • Écrire les mots de passe sur papier
  • Envoyer les mots de passe par email ou SMS
ⓘ Le mot de passe le plus sûr est celui que vous n'avez pas à retenir. Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques.

🔑 Comment utiliser l'outil de mot de passe

  1. Ajustez le curseur Longueur — entre 4 et 64 caractères.
  2. Cochez les options souhaitées : Majuscules, Minuscules, Chiffres, Symboles.
  3. Cliquez sur Générer un mot de passe pour obtenir un mot de passe aléatoire. Une barre de force indique instantanément sa robustesse.
  4. Cliquez sur l'icône copier à côté du résultat pour l'envoyer directement dans le presse-papiers.

🔒 Les mots de passe sont générés localement dans votre navigateur avec un générateur aléatoire cryptographique — rien n'est envoyé, rien n'est stocké.

🛡️ Pourquoi un mot de passe long et complexe est vraiment important

La plupart des comptes piratés aujourd'hui ont un point commun : un mot de passe faible ou réutilisé. D'après le Data Breach Investigations Report annuel de Verizon, plus de 80 % des piratages impliquent des identifiants volés ou faibles. Les attaquants ne tapent pas à la main devant un écran de connexion ; ils lancent des attaques brute-force à plusieurs milliards de tentatives par seconde sur des hashes de mots de passe fuités, ou ils prennent d'énormes listes de mots de passe fuités d'un site pour les essayer sur tous les autres — une technique appelée credential stuffing. Un mot de passe court ou courant tombe en quelques secondes, parfois en millisecondes.

📏 La longueur est la défense la plus importante. Chaque caractère supplémentaire multiplie le nombre de combinaisons possibles. Un mot de passe de 6 caractères en minuscules a environ 300 millions de combinaisons — un GPU moderne le craque instantanément. Un mot de passe de 8 caractères mêlant casse, chiffres et symboles a environ 6 quadrillions de combinaisons — toujours craquable en quelques heures sur du matériel dédié. Un mot de passe de 12 caractères dans le même alphabet a 95^12 ≈ 540 sextillions de combinaisons, ce qui, même à plusieurs milliards de tentatives par seconde, prendrait des siècles. C'est pour ça que les experts en sécurité — NIST, ANSSI, NCSC britannique — recommandent tous au moins 12 caractères, et idéalement 16 ou plus pour les comptes critiques (email, banque, mot de passe maître du gestionnaire).

🎲 L'aléa compte autant que la longueur. « motdepasse123 » est assez long, mais il est dans tous les dictionnaires d'attaquants. « jetaime2024! » semble complexe mais suit un motif évident. « Ete2025! » passe la plupart des politiques de mot de passe et se craque en quelques secondes. Le vrai aléa — celui que produit un générateur — est imprévisible par définition. C'est ce qui rend « k8#Pz!rT&9wQm » fort et « MonChien2010 » faible, malgré des longueurs similaires.

📖 Mieux encore : les phrases de passe — quatre ou cinq mots aléatoires sans lien entre eux, comme « cheval correct agrafe batterie » (le fameux exemple XKCD). Une phrase de passe de quatre mots aléatoires tirés d'un dictionnaire de 10 000 mots offre environ 10^16 combinaisons, soit l'équivalent d'un mot de passe aléatoire de 12 caractères, mais vastement plus facile à retenir. Elles sont particulièrement utiles pour les mots de passe qu'il faut retenir : votre mot de passe maître, votre session d'ordinateur, le compte que vous ne pouvez pas vous permettre de perdre.

🔁 La règle d'or : ne jamais réutiliser un mot de passe. Les sites sont compromis tout le temps. Quand LinkedIn a laissé fuiter 117 millions d'identifiants en 2012, ou Yahoo 3 milliards en 2013, les attaquants n'ont pas seulement eu accès à ces comptes — ils ont eu accès à tous les autres comptes où les utilisateurs avaient réutilisé le même mot de passe. La base Have I Been Pwned, maintenue par Troy Hunt, recense actuellement plus de 12 milliards de comptes fuités. Il y a de fortes chances que votre email y figure. La réutilisation multiplie les dégâts de chaque fuite.

🔐 Un gestionnaire de mots de passe résout élégamment le problème de la réutilisation. Des outils comme Bitwarden, 1Password, KeePass, ou les gestionnaires intégrés à Chrome/Safari/Firefox permettent de générer et stocker un mot de passe unique de 20 caractères pour chaque site. Vous retenez un seul mot de passe maître (idéalement une phrase de passe solide), et le gestionnaire s'occupe du reste. Les gestionnaires modernes vous alertent aussi quand un mot de passe a fuité, détectent les sites de phishing (ils n'auto-remplissent pas sur un faux domaine) et synchronisent entre vos appareils.

🔑 Vient ensuite la double authentification (2FA). Un mot de passe long et unique, c'est très bien ; un mot de passe long et unique plus un deuxième facteur, c'est bien mieux. Même si un attaquant vole votre mot de passe, il ne peut pas se connecter sans le code venu de votre téléphone ou d'une clé physique. Préférez la 2FA par application (Authy, Google Authenticator) ou par clé matérielle (YubiKey) aux SMS, qui peuvent être interceptés via des attaques de SIM-swapping. Activez la 2FA partout où c'est possible — d'abord sur l'email, puis les comptes financiers, puis les réseaux sociaux.

🚫 Enfin, sachez ce qu'il ne faut pas faire. Ne pas écrire les mots de passe sur un post-it sous le clavier. Ne pas les envoyer par email ou SMS. Ne pas les sauver dans un fichier texte sur le bureau. Ne pas utiliser d'information personnelle (date de naissance, nom d'animal, prénom des enfants) — c'est exactement ce que les attaquants essaient en premier. Et ne pas se reposer sur des « questions de sécurité » dont les réponses sont publiques : le nom de jeune fille de votre mère est probablement sur LinkedIn.

💡 Au final, le mot de passe le plus sûr est celui que vous n'avez pas à retenir. Laissez un générateur le créer, un gestionnaire le stocker, et protégez le tout avec une phrase de passe maître solide et la 2FA. C'est l'équivalent moderne d'une porte verrouillée avec un verrou — et sur Internet, les portes comptent plus que jamais.