PeopleAreGeek
EN

Générateur de mots de passe

Mots de passe aléatoires et passphrases avec vraie entropie, 100% dans votre navigateur

Ce générateur de mots de passe crée des mots de passe aléatoires solides ou des passphrases mémorisables directement dans votre navigateur, sans jamais rien envoyer à un serveur. Il s'appuie sur crypto.getRandomValues, la source aléatoire cryptographiquement sûre de votre navigateur, jamais sur Math.random, et applique du rejection sampling pour éliminer le modulo bias afin que chaque caractère ait exactement la même probabilité. Choisissez la longueur, cochez les jeux de caractères, excluez les caractères ambigus, ou passez en mode passphrase de quatre à huit mots. Chaque résultat affiche sa vraie entropie en bits, calculée à partir du pool réel que vous avez sélectionné. Générez un mot de passe ou cinq d'un coup, copiez en un clic, et rien n'est jamais stocké ni journalisé.

100% dans votre navigateur. Rien de ce que vous tapez ne quitte cette page.

Générateur de mots de passe local avec vraie entropie, mode passphrase et zéro appel réseau

Vous cliquez sur le bouton, vous avez un mot de passe. C'est tout. Tout tourne dans votre navigateur, avec le générateur aléatoire cryptographique qu'il embarque déjà (crypto.getRandomValues, la même source que le frontend de votre banque), donc rien de ce que vous générez ne touche jamais un serveur. Ni le mien, ni celui de qui que ce soit. Vous pouvez vérifier dans l'onglet réseau si vous ne me croyez pas. Moi, je vérifierais.

Choisissez une longueur, cochez les jeux de caractères, ou basculez en mode passphrase si vous voulez quelque chose qu'un humain peut vraiment taper. Chaque résultat affiche sa vraie entropie en bits, calculée à partir du pool que vous avez réellement sélectionné, pas une jauge décorative qui fait plaisir.

100% côté client. Aucun mot de passe n'est jamais envoyé, stocké ou journalisé où que ce soit. L'aléatoire vient du CSPRNG de votre propre navigateur et les résultats ne vivent que sur cette page, jusqu'à ce que vous la quittiez.

Comment ce générateur de mots de passe fabrique du hasard

Ce générateur de mots de passe n'appelle jamais que crypto.getRandomValues, la source aléatoire cryptographiquement sûre de la Web Crypto, jamais Math.random. Math.random est un générateur pseudo-aléatoire prévu pour les animations et les jeux de dés. Il n'a jamais été conçu pour résister à un attaquant, son état interne peut être reconstruit à partir d'une poignée de sorties, et un générateur de mots de passe bâti dessus est un jouet. La source sûre ici est alimentée depuis le pool d'entropie du système d'exploitation, le même endroit d'où sortent les clés SSH et les clés de session TLS. Il reste un piège. Projeter un nombre brut de 32 bits sur un pool de 88 caractères avec un simple modulo fausse la distribution, un effet appelé modulo bias. Donc ce générateur fait du rejection sampling : toute valeur qui tomberait dans la zone biaisée est jetée et retirée au sort, et chaque caractère du pool a exactement la même probabilité d'être choisi.

Ce qui fait un mot de passe solide en 2026

La longueur, honnêtement surtout la longueur. Une machine de cracking moderne avale des milliards d'essais par seconde contre un hash rapide, et chaque caractère ajouté multiplie l'espace de recherche par la taille de votre pool. Un mot de passe aléatoire de 20 caractères tiré du pool complet ici tourne autour de 128 bits d'entropie, hors de portée de toute force brute de votre vivant. L'autre moitié du solide, c'est l'unique : la façon dont les comptes tombent le plus souvent, c'est le credential stuffing, où un site qui a fait fuiter votre mot de passe en 2017 le rejoue contre tous les grands services.

  • 16 caractères minimum pour tout ce qui compte. 20 et plus pour les comptes admin, l'email et l'argent.
  • Un mot de passe par site. La réutilisation, c'est comme ça que les fuites se propagent. Il n'y a pas d'exception maligne.
  • L'entropie avant les règles. Un symbole forcé au bout d'un mot ne trompe personne. L'aléatoire bat l'astucieux à chaque fois.
  • 2FA par-dessus. Même un mot de passe parfait peut se faire phisher un mauvais mardi.

Passphrases ou mots de passe

Un mot de passe aléatoire de 20 caractères sorti de cet outil porte environ 128 bits d'entropie. Une passphrase de 6 mots tirée de la liste embarquée de 300 mots en porte à peu près 49, et 8 mots vous amènent à 66. La soupe de caractères gagne sur les chiffres bruts, sans débat. Et pourtant, à la plupart des gens, je donnerais quand même la passphrase, parce que le mode d'échec qui arrive vraiment, ce n'est pas quelqu'un qui brute-force 66 bits, c'est la personne incapable de dicter son mot de passe WiFi à un invité et qui retombe sur le nom de son chat. Une phrase comme maple-cobalt-river-lantern-wheat, ça se dit à voix haute, ça se tape sur un clavier de téléphone, ça se retient même après quelques usages. Utilisez les caractères aléatoires pour tout ce qu'un password manager remplit tout seul, et les passphrases pour la poignée de secrets qu'un humain doit manipuler.

Prenez un password manager, tout simplement

Un générateur reste un pansement si vous mémorisez encore vos mots de passe. Le vrai remède, c'est un manager qui génère, stocke et remplit un mot de passe aléatoire différent pour chaque compte, pour que le seul secret dans votre tête soit une master passphrase costaud faite de mots. Bitwarden est gratuit et open source, KeePassXC si vous voulez le fichier de base sous votre propre contrôle, et les managers intégrés aux navigateurs sont devenus franchement corrects. N'importe lequel bat la mémoire humaine. Générez votre master passphrase ici, 6 ou 7 mots, écrivez-la sur papier la première semaine, puis laissez le manager faire tout le reste pour toujours.

Questions fréquentes

Ce que je génère est-il envoyé à un serveur ?

Non. L'outil entier est un petit script qui tourne dans votre page. Pas d'appel réseau, pas de hook analytics sur les mots de passe, pas de stockage. Fermez l'onglet et les mots de passe disparaissent. Si vous êtes du genre à vérifier, ouvrez les dev tools de votre navigateur sur l'onglet réseau et générez à volonté : rien ne part.

Pourquoi crypto.getRandomValues plutôt que Math.random ?

Math.random est prévisible par conception. Sa sortie peut être rétro-calculée à partir de quelques échantillons, ce qui est fatal pour un mot de passe. crypto.getRandomValues puise dans le pool d'entropie cryptographique de votre système d'exploitation, la même source que les clés de chiffrement. Cet outil applique en plus du rejection sampling, donc aucun caractère du pool n'est jamais favorisé par le modulo bias.

Quelle longueur pour un mot de passe en 2026 ?

16 caractères, c'est mon plancher pour tout ce qui compte, et 20 ou plus pour l'email, les panneaux admin et l'argent. La longueur est la solidité la moins chère du marché : chaque caractère aléatoire en plus multiplie le travail de l'attaquant par la taille du pool. Au-delà de 20 caractères aléatoires, vous êtes tranquille face à la force brute pour des décennies.

Les passphrases sont-elles aussi solides que les mots de passe aléatoires ?

Bit pour bit, non. Une phrase de 5 mots tirée d'une liste de 300 mots fait environ 41 bits, là où 20 caractères aléatoires tournent autour de 128. Mais une passphrase que vous retenez et tapez vraiment bat un mot de passe parfait écrit sur un post-it. Prenez 6 à 8 mots pour tout ce qui est important, et gardez les caractères aléatoires pour ce qu'un manager remplit automatiquement.

Que veut dire le chiffre d'entropie ?

Il compte l'imprévisibilité en bits, et chaque bit ajouté double le nombre d'essais qu'il faut à un attaquant en moyenne. L'outil le calcule honnêtement : taille du pool à la puissance de la longueur, exprimée comme longueur fois log2 du pool. Donc 20 caractères dans un pool de 88, c'est 20 fois 6,46, soit environ 129 bits. Au-dessus de 80 bits, vous êtes hors de portée du cracking offline aujourd'hui.