Vérificateur de robustesse de mot de passe
Testez la robustesse d'un mot de passe, voyez son entropie et le temps de cassage estimé, et obtenez ses faiblesses en langage clair — le tout dans votre navigateur.
Le vérificateur de robustesse de mot de passe analyse votre mot de passe entièrement dans votre navigateur. Tout ce que vous tapez dans le champ reste sur votre appareil — il n'est jamais téléversé, journalisé, ni envoyé à ArrayKit.
Ouvrir le générateur de mot de passe
À propos de Robustesse de mot de passe
Le vérificateur de robustesse de mot de passe mesure à quel point un mot de passe serait difficile à deviner et explique pourquoi. Tapez ou collez-en un et il calcule un score de robustesse de 0 à 4, l'entropie estimée en bits, et un temps de cassage hors ligne approximatif, puis détaille les classes de caractères que vous avez utilisées — minuscules, majuscules, chiffres et symboles. Il signale aussi des faiblesses concrètes : les mots de passe trop courts, qui n'utilisent qu'un seul type de caractère, qui correspondent à un mot de passe très courant ou compromis, ou qui contiennent des caractères répétés, des suites comme abcd, ou des marches sur le clavier comme qwerty. Un champ masqué avec une bascule d'affichage garde votre mot de passe caché pendant que vous travaillez. Il est conçu pour toute personne qui renforce un compte ou un formulaire d'inscription. Chaque calcul s'exécute sur votre appareil — le mot de passe ne quitte jamais le navigateur.
Fonctionnalités
- Note tout mot de passe de 0 (très faible) à 4 (très robuste) à mesure que vous tapez
- Estime l'entropie en bits à partir du pool de caractères et de la longueur
- Affiche une estimation approximative du temps de cassage hors ligne en langage clair
- Détaille la composition : minuscules, majuscules, chiffres et symboles utilisés
- Signale les mots de passe trop courts et ceux à une seule classe de caractères
- Détecte les mots de passe courants ou compromis, les répétitions, les suites et les motifs de clavier
- Saisie masquée avec une bascule d'affichage pour que le mot de passe reste caché
- S'exécute entièrement dans votre navigateur — le mot de passe n'est jamais téléversé
Comment utiliser Robustesse de mot de passe
- Tapez ou collez le mot de passe dans le champ masqué
- Lisez le score de robustesse, l'entropie en bits et le temps de cassage estimé
- Utilisez Afficher pour confirmer que vous avez tapé le mot de passe correctement
- Corrigez chaque faiblesse listée sous « Ce que nous avons trouvé » et revérifiez
Exemple
Entrée
password
Sortie
Score 0 / Very weak · flagged: very common password · crack time: instantly
"password" figure sur toutes les listes de fuites, si bien qu'il tombe immédiatement face à une attaque par dictionnaire.
Erreurs courantes et dépannage
- Un long mot de passe obtient tout de même un score bas. — La longueur seule ne suffit pas. Vérifiez la liste « Ce que nous avons trouvé » — un mot courant, une marche sur le clavier comme qwerty, ou une suite répétée peut maintenir le score bas. Mélangez les types de caractères et évitez les motifs prévisibles.
- L'entropie semble élevée mais le score est plafonné. — L'entropie suppose des caractères aléatoires. Si le mot de passe correspond à un courant ou n'utilise qu'une seule classe de caractères, le score est délibérément abaissé car un vrai attaquant ne le forcerait pas à l'aveugle.
- Le temps de cassage semble trop optimiste ou trop pessimiste. — C'est une estimation approximative supposant une attaque hors ligne rapide à environ 10 milliards de tentatives par seconde contre un hachage faible. Les hachages lents et salés comme bcrypt prennent bien plus longtemps ; un texte en clair divulgué n'en prend aucun.
Foire aux questions
- Comment le vérificateur de robustesse note-t-il un mot de passe ?
- Il combine l'entropie estimée à partir de la longueur et du pool de caractères de votre mot de passe avec des pénalités pour les faiblesses structurelles — mots de passe courants, classe de caractères unique, répétitions, suites et marches sur le clavier — pour produire un score de 0 à 4 et un verdict en un mot.
- Que signifie réellement l'entropie en bits ici ?
- L'entropie en bits est à peu près le log2 du nombre de tentatives nécessaires pour forcer le mot de passe : la longueur fois le log2 du pool de caractères. Plus de bits signifie exponentiellement plus de possibilités, si bien que 60 bits ou plus est nettement plus robuste que 30.
- Comment l'estimation du temps de cassage est-elle calculée ?
- Elle divise le nombre moyen de tentatives (la moitié de l'espace de recherche impliqué par l'entropie) par une vitesse d'attaquant supposée d'environ 10 milliards de tentatives par seconde, puis arrondit à une unité lisible comme des heures, des années ou des siècles.
- Quels motifs faibles ce vérificateur détecte-t-il ?
- Il signale les mots de passe trop courts, qui n'utilisent qu'un seul type de caractère, qui correspondent à une petite liste intégrée de mots de passe très courants, ou qui contiennent des suites répétées, des séquences croissantes ou décroissantes comme abcd, et des marches droites sur le clavier comme qwerty ou asdf.
- Est-il sûr de taper un vrai mot de passe dans ce vérificateur ?
- L'analyse se fait entièrement dans votre navigateur et le mot de passe n'est jamais envoyé nulle part, si bien qu'il est sûr de le tester. Néanmoins, par habitude générale, évitez de coller un mot de passe de production en usage dans une page web à laquelle vous ne faites pas pleinement confiance.
- Un score élevé ici garantit-il que mon compte est sécurisé ?
- Non. Un score robuste signifie que le mot de passe lui-même est difficile à deviner, mais la sécurité d'un compte dépend aussi de mots de passe uniques par site, de l'exposition aux fuites, et de l'authentification à deux facteurs. Traitez le score comme un guide, pas une garantie.
Outils associés
- Générateur de mots de passe — Génère des mots de passe forts et aléatoires avec un indicateur de robustesse (sûr cryptographiquement).
- Générateur de hachage — SHA-256 / SHA-1 / SHA-384 / SHA-512 via l’API Web Crypto.
- Générateur bcrypt — Hache un mot de passe avec bcrypt au coût choisi et vérifie un hachage.
- Générateur TOTP / 2FA — Génère des mots de passe à usage unique basés sur le temps (codes 2FA) à partir d’un secret base32.
- Générateur d’UUID — Génère une ou plusieurs valeurs UUID v4 aléatoires.
- Générateur HMAC — Signe un message avec une clé secrète en SHA-256/1/384/512, hex et Base64.
Tous les outils ArrayKit