Testeur de force de mot de passe

Évalue un mot de passe dans ton navigateur : entropy, crack time, scan des schémas faibles, idées de passphrase et checklist de durcissement.

Ce testeur de force de mot de passe évalue n'importe quel mot de passe directement dans ton navigateur, la valeur ne quitte donc jamais la page. Tape un mot de passe ou une passphrase et tu obtiens une estimation d'entropy à partir de son pool de caractères, des points retirés pour les schémas que les attaquants crackent en premier (mots courants, substitutions leetspeak, keyboard walks, années, répétitions et les mots personnels que tu lui demandes de surveiller), et un comparatif côte à côte de la vitesse à laquelle chaque modèle d'attaque le broierait, d'une connexion throttled à un cluster GPU offline. Quand un mot de passe est faible, il propose des mots de passe aléatoires plus solides et des passphrases de mots, et un bouton breach prefix ne calcule que les cinq premiers caractères du hash SHA-1 pour une recherche de fuite respectueuse de la vie privée. Tu repars avec une checklist claire de durcissement de compte, et rien de tout ça ne touche un serveur.

100% dans votre navigateur. Rien de ce que vous tapez ne quitte cette page.

Testeur de force de mot de passe local, estimateur d'entropy et checklist de durcissement de compte

Tape un mot de passe ci-dessous. Je le note tout de suite, ici, dans ton navigateur. Rien ne m'est envoyé, jamais. Ce que tu récupères : une estimation d'entropy, un scan des schémas fainéants que les attaquants essaient en premier, et un comparatif côte à côte de la vitesse à laquelle chaque type d'attaque le démolirait. Si le tien est faible, il te balancera aussi quelques idées de passphrase, plus une façon de vérifier ton mot de passe dans les bases de fuites sans compromettre ta vie privée. Honnêtement, je l'ai surtout construit parce que j'en avais marre que tous les autres checkers te demandent de coller un mot de passe bien réel dans une case et de leur faire confiance, point.

Password or passphrase

Account type

Attack model

Personal words to avoid

Passphrase words

Separator

Tout se passe ici, en local. Le mot de passe ne touche jamais les serveurs de PeopleAreGeek. Et franchement, un gestionnaire de mots de passe avec un mot de passe différent par site t'apportera bien plus que de courir après le chiffre parfait dans cette petite case.

La solidité d'un mot de passe, c'est sa résistance au devinage et le contexte du compte

Un testeur de force de mot de passe n'est utile que s'il note de la façon dont les attaquants attaquent vraiment. Un mot de passe n'est pas solide parce que tu y as fourré un signe dollar. Les attaquants ne devinent pas à l'aveugle. Ils te balancent d'abord les dumps de mots de passe fuités, puis des mots de dictionnaire, puis des keyboard walks, des années de naissance et les substitutions que tout le monde fait (a devient @, o devient 0), des séries répétées, plus tout ce que tu as déjà réutilisé sur cinq autres sites. Du coup, un mot de passe qui a l'air chargé peut quand même tomber en quelques secondes s'il est court ou bâti sur quelque chose de devinable. Et l'inverse est vrai : une longue passphrase faite de mots simples que tu retiendras vraiment est en général bien plus dure à cracker qu'une chaîne courte bourrée de ponctuation. Cet outil calcule l'entropy à partir de ton pool de caractères, retire des points pour les schémas qui se font vraiment cracker, et aligne la vitesse à laquelle chaque modèle d'attaque le broierait. Rien de tout ça ne touche un serveur.

Comment interpréter le score

Vois le score comme un voyant d'alerte, pas comme un certificat. Une vraie page de connexion limite en général le nombre de tentatives, donc même un mot de passe médiocre te fait gagner un peu de temps là-dessus. À la seconde où une base de données fuite et que quelqu'un cracke les hashes en offline, ce même mot de passe se fait marteler des millions de fois par seconde. Le contexte fait tout : un mot de passe correct pour un forum que tu auras oublié d'ici mardi est très loin d'être assez bon pour ton e-mail, ton panneau d'hébergement, ta banque, ou n'importe quoi avec le mot admin dedans.

La longueur est le seul levier qui ne te lâche presque jamais. Ajoute des caractères avant de faire quoi que ce soit d'autre.
L'unicité bat les astuces malines. Remplacer un a par un arobase ne trompe personne dont le métier est de cracker des mots de passe.
Les mots de contexte (ton entreprise, ton nom, ta ville) sont la première chose qu'essaie un devinage ciblé. Laisse-les de côté.
La double authentification est ton filet de sécurité pour le jour où un mot de passe se fait phisher, ou où tu l'as réutilisé quelque part que tu as oublié.
Les gestionnaires de mots de passe transforment le "un mot de passe unique partout" d'une bonne idée en quelque chose que tu fais vraiment.

Vie privée et le breach prefix

Tout le calcul se passe dans ton navigateur. Le mot de passe ne quitte jamais la page, et le bouton Copy checklist n'inclut jamais le mot de passe lui-même. Le bouton Create breach prefix ne calcule jamais que les cinq premiers caractères du hash SHA-1, la partie que les services de k-anonymity utilisent, pour que tu voies comment fonctionne une recherche de fuite respectueuse de la vie privée sans exposer le vrai mot de passe ici. Pour tout ce qui a de la valeur, associe un mot de passe unique à la double authentification et un e-mail de récupération verrouillé.

Questions fréquentes

Est-ce que je devrais taper mon vrai mot de passe ici ?

Techniquement, tu ne risques rien. Tout tourne dans ton navigateur, rien n'est envoyé à ce site. Mais je vais être franc avec toi : je ne colle jamais un mot de passe bien réel dans un site web, celui-ci compris. Si tu veux le verdict sans l'angoisse qui te trotte dans la tête, tape quelque chose de la même forme (même longueur, même genre de mélange) et tu en apprendras tout autant.

Les symboles sont-ils obligatoires ?

Ils aident un peu. Mais la longueur et l'unicité font bien plus de travail de fond. Quatre mots aléatoires mis bout à bout tiendront plus longtemps qu'un mot de passe court saupoudré de ponctuation, à peu près à chaque fois. Ajoute un symbole si le site insiste, d'accord. Mais ne te raconte pas que c'est le symbole qui te protège.

Un checker peut-il prouver qu'un mot de passe est sûr ?

Non. Et ne fais confiance à aucun outil qui prétend le faire. Celui-ci attrape les faiblesses évidentes, c'est tout son boulot. Que ton compte soit vraiment sûr dépend de choses qu'un checker ne peut tout simplement pas voir. Ce mot de passe a-t-il déjà fuité ? L'as-tu réutilisé ? Tomberais-tu dans le panneau d'une page de phishing convaincante un mauvais jour ? Ton e-mail de récupération est-il verrouillé, la 2FA est-elle activée. Le score, c'est là que cette conversation commence, pas là qu'elle se termine.

Qu'est-ce qui rend vraiment un mot de passe solide ?

La longueur, d'abord et avant tout. Atteins 12 caractères au strict minimum, et plus pour tout ce qui compte. Ensuite, ça se joue sur l'imprévisibilité, et le fait d'en utiliser un différent sur chaque site. Une longue passphrase de mots sans rapport bat un mot de passe court hérissé de symboles, à peu près toujours.

Qu'est-ce que la password entropy ?

C'est une façon de mesurer l'imprévisibilité, comptée en bits. Voilà le truc que les gens loupent : chaque bit que tu ajoutes double le nombre de guesses qu'un attaquant doit faire. Donc le saut de 50 à 60 bits est bien plus gros que ces petits chiffres ne le laissent croire. Vise 60 et plus, et tu es tranquille.