Outils Malins

Générateur de mot de passe sécurisé

Aléatoire, mémorable (passphrase de mots français) ou PIN. Généré dans votre navigateur via Web Crypto API. Force et temps de cassage estimés. 100 % local, sans inscription.

Générer un mot de passe sécurisé

Génération via Web Crypto API du navigateur. Aucun mot de passe n'est transmis ni stocké.

Génération via crypto.getRandomValues() du navigateur (cryptographiquement sécurisée). Aucun mot de passe n'est stocké côté serveur ni dans votre navigateur.

Étude de cas réelle 2026

Sandra Vasseur, 41 ans, DAF d'une PME de 80 salariés à Grenoble, audite son hygiène numérique en mars 2026 suite à une tentative de phishing dans son service. Elle découvre que son mot de passe pro est Sandra2024!(10 caractères, 1 majuscule, 1 chiffre, 1 spécial).

Test avec notre outil : entropie ≈ 30 bits, classé "Faible". Temps de cassage estimé par attaque brute force (10 milliards d'essais/seconde, GPU RTX 4090) :moins de 1 seconde. Pire : le mot de passe est dans la base HaveIBeenPwned (utilisé en 2023 dans une fuite).

Sandra adopte un nouveau protocole basé sur notre recommandation :

  • Passphrase générée : 4 mots aléatoires + séparateurs aléatoires + 2 chiffres : Cerise-Tornade@Saxophone#Marteau47.
  • Entropie : 78 bits. Temps cassage : 2 × 10²² années (univers a 1,38 × 10¹⁰ ans).
  • Gestionnaire : Bitwarden Premium (10 €/an) pour tous les comptes pro/perso.
  • 2FA partout : Aegis Authenticator (TOTP) sur 32 comptes critiques.
  • Politique entreprise : déploiement de 1Password Business (5 €/utilisateur/mois) pour les 80 salariés.

ROI calculé : coût annuel 1Password 4 800 €. Une seule compromission évitée (perte moyenne PME selon CNIL/ANSSI 2025 : 35 000 €) rentabilise 7 ans d'abonnement. Sandra communique sur le rapport ANSSI 2026 : 80 % des cyberattaques en France exploitent des mots de passe faibles ou réutilisés.

Comparatif 2026 : longueur vs entropie vs temps de cassage

L'entropie (en bits) mesure la "qualité" d'un mot de passe. Voici l'ordre de grandeur face à un GPU moderne (10¹⁰ essais/s).

Mot de passeLongueurEntropieTemps cassage GPU 2026
azerty1239≈ 0 (dictionnaire)Instantané
Tom2024!828 bits26 secondes
Z9k#L@m7P! (aléatoire)1062 bits146 ans
Cerise-Tornade-Saxophone2456 bits (dictionnaire FR)2 ans
Cerise-Tornade@Saxo#Marteau472978 bits2 × 10²² années

Règle ANSSI 2026 : minimum 12 caractères avec 4 types (maj/min/chiffre/spécial), ou passphrase de 4+ mots aléatoires séparés. L'entropie de 70+ bits est l'objectif pour comptes critiques (mail principal, banque, gestionnaire).

À retenir en 2026

  • Longueur > complexité : un mot de passe long (16+ caractères) est plus sûr qu'un court compliqué. cheval-batterie-agrafe-correct batP@ssW0rd! de loin.
  • Gestionnaire obligatoire : Bitwarden (gratuit ou 10 €/an Premium), 1Password (36 €/an), Proton Pass (gratuit, FR). Évitez Chrome/Safari intégré : pas de chiffrement zero-knowledge.
  • Pas de réutilisation : 1 mot de passe = 1 service. Si LinkedIn fuit (cas 2012, 2021), votre mot de passe est public. La réutilisation propage la fuite à tous vos comptes.
  • 2FA partout : TOTP (Aegis, Google Authenticator) plutôt que SMS (vulnérable SIM swapping). Clé physique YubiKey (50 €) pour mail principal et banque.
  • HaveIBeenPwned : vérifiez vos emails sur haveibeenpwned.compour savoir si vous êtes dans une fuite connue. 11 milliards de comptes compromis indexés en 2026.
  • Pas de rotation forcée : NIST et ANSSI déconseillent depuis 2017 la rotation périodique. Ne changer qu'en cas de suspicion de compromission.
  • Passkey (FIDO2) : remplace progressivement les mots de passe sur Apple, Google, Microsoft. Génération automatique, stockage local, biométrie. Aucune attaque par phishing possible.

5 erreurs à éviter en 2026

1. Utiliser des infos personnelles dans le mot de passe

Date de naissance, nom du chien, prénom du conjoint, ville natale : tout est sur Facebook ou LinkedIn. Les attaques par dictionnaire personnalisé (mosaïque OSINT) cassent ces mots de passe en quelques minutes. Toujours générer aléatoirement avec un gestionnaire.

2. Sauvegarder ses mots de passe dans un fichier Excel

Un fichier .xlsx ou .docx avec mot de passe Office offre une protection symbolique : cassée en quelques heures avec John the Ripper. Stocker des mots de passe sur Drive, iCloud Drive ou Dropbox non chiffré ajoute le risque de fuite cloud. Toujours utiliser un gestionnaire dédié zero-knowledge.

3. Envoyer un mot de passe par email ou WhatsApp

L'email circule en clair sur de nombreux serveurs (sauf TLS strict bout-en-bout rare). WhatsApp est chiffré mais l'historique reste sur les téléphones. Préférez des partages éphémères : 1Password Share, PrivateBin, Yopass (lien autodestructeur après lecture).

4. Activer la mémorisation dans le navigateur sans master password

Chrome et Edge stockent les mots de passe chiffrés avec la session Windows. Si un malware obtient un accès local, il extrait toute la base en quelques secondes. Activez au moins le chiffrement par mot de passe maître dans Firefox, ou migrez vers un gestionnaire dédié.

5. Croire qu'un mot de passe "compliqué" suffit

P@$$w0rd2024! semble fort mais figure dans toutes les listes de fuites. Les attaquants utilisent des règles de mutation (a→@, o→0, e→3) avant la brute force. Toujours générer aléatoirement avec un outil et vérifier l'entropie. Un mot de passe inventé "à la main" est presque toujours faible.

Qu'est-ce qu'un bon mot de passe ?

Trois critères : long, imprévisible, unique par site. La longueur compte plus que la complexité — un mot de passe de 16 caractères en minuscules est plus fort qu'un mot de passe de 8 caractères avec majuscules, chiffres et symboles.

L'unicité est essentielle : si un site est piraté et que vous utilisez le même mot de passe ailleurs (credential stuffing), tous vos comptes tombent. C'est la fuite la plus fréquente.

Aléatoire vs mémorable

Mot de passe aléatoire : 16 caractères mélangés (minuscules, majuscules, chiffres, symboles) = ~95 bits d'entropie. Très fort. À stocker dans un gestionnaire (Bitwarden, 1Password, KeePass).

Passphrase mémorable : 4 mots français aléatoires séparés par des tirets (ex : soleil-pomme-route-tigre) = ~52 bits d'entropie pour dictionnaire de 7700 mots. Mémorisable. Idéal pour le mot de passe maître de votre gestionnaire de mots de passe (le seul que vous devez retenir).

Entropie : la mesure de la force

L'entropie mesure l'imprévisibilité d'un mot de passe en bits. Chaque bit double le nombre d'essais nécessaires pour le casser :

  • 40 bits : faible, cassable en quelques heures à 10^11 essais/sec.
  • 60 bits : correct, plusieurs années.
  • 80 bits : fort, des millénaires.
  • 100+ bits : très fort, des milliards d'années (incassable en pratique).

Utiliser un gestionnaire

Le seul moyen réaliste d'avoir un mot de passe unique par site : un gestionnaire de mots de passe. Vous ne mémorisez qu'un seul mot de passe maître (long, mémorable), et le gestionnaire stocke et autoremplit tous les autres.

  • Bitwarden (open source, gratuit, recommandé)
  • 1Password (premium, ergonomie excellente)
  • KeePassXC (open source, base locale, sans cloud)
  • Apple Keychain / Google Password Manager (intégrés, suffisants pour usage basique)

Activez la double authentification (2FA)

Même un mot de passe parfait ne protège pas du phishing ou d'une fuite de base de données. La 2FA ajoute une seconde couche : un code temporaire de 6 chiffres généré par une app, ou une clé physique.

Préférez : apps TOTP (Aegis, Authy, 2FAS), clés physiques (YubiKey, Solokey). Évitez : SMS (peuvent être interceptés via SIM swapping). Activez la 2FA sur email, banque, gestionnaire de mots de passe, réseaux sociaux.

Pièges courants

  • Réutiliser le même mot de passe sur plusieurs sites — l'erreur la plus dangereuse.
  • Substituer des lettres par des chiffres (P@ssw0rd) — connu de tous les outils de cassage.
  • Inclure des informations personnelles (nom, date de naissance, animal de compagnie).
  • Stocker dans un fichier texte non chiffré, dans les notes du téléphone, ou dans un email à soi-même.
  • Changer son mot de passe tous les 3 mois sans raison : pousse à des mots de passe plus faibles.

Questions fréquentes

Le mot de passe est-il transmis ?

Non. Génération via crypto.getRandomValues() du navigateur. Rien n'est envoyé.

Quelle longueur recommandée ?

16 caractères aléatoires, ou 4 mots passphrase, ou 6+ chiffres pour PIN.

Aléatoire ou mémorable ?

Aléatoire = plus dense, à stocker dans gestionnaire. Mémorable = pour mot maître du gestionnaire.

Qu'est-ce que l'entropie ?

Imprévisibilité en bits. 60 = correct, 80 = fort, 100+ = très fort.

Changer régulièrement ?

Non, sauf fuite. Un bon mot de passe unique reste valide.

Et la 2FA ?

À activer partout. Apps TOTP ou clés physiques. Évitez SMS.

Sources

  • ANSSI — Bonnes pratiques mot de passe (cyber.gouv.fr)
  • NIST SP 800-63B — Digital Identity Guidelines
  • EFF Diceware — Passphrase generation (eff.org/dice)

Outil indicatif. Vérifiez les recommandations spécifiques à chaque service (longueur min, caractères autorisés).