Testeur de mot de passe

// Testeur de mot de passe

Votre mot de passe ne quitte jamais votre navigateur. L'analyse de robustesse est effectuée entièrement sur votre appareil. La vérification des fuites n'envoie qu'un hash partiel — votre mot de passe n'est jamais transmis.

Conseils

Utilisez au moins 12 caractères

Mélangez majuscules, minuscules, chiffres et symboles

Utilisez un mot de passe unique pour chaque compte

Générateur de mots de passe →

Comment la robustesse d'un mot de passe est mesurée

La robustesse d'un mot de passe est mesurée en bits d'entropie — une représentation mathématique du caractère imprévisible d'un mot de passe. La formule prend en compte la taille du jeu de caractères (minuscules, majuscules, chiffres, symboles) élevée à la puissance de la longueur du mot de passe. Une entropie plus élevée signifie davantage de combinaisons possibles qu'un attaquant doit essayer.

Par exemple, un mot de passe utilisant uniquement des lettres minuscules (26 caractères) possède environ 4,7 bits d'entropie par caractère. Ajoutez des majuscules (52 au total) et vous obtenez 5,7 bits. Incluez des chiffres et des symboles (95 caractères ou plus) et chaque caractère contribue environ 6,6 bits. Un mot de passe de 16 caractères utilisant le jeu de caractères complet génère plus de 100 bits d'entropie — pratiquement impossible à déchiffrer par force brute.

Vérification via Have I Been Pwned

Cet outil vérifie votre mot de passe par rapport à la base de données Have I Been Pwned, qui contient plus de 700 millions de mots de passe compromis, en utilisant la méthode k-anonymat. Seuls les 5 premiers caractères du hachage SHA-1 sont envoyés — le mot de passe complet ne quitte jamais votre navigateur. Si une correspondance est trouvée, votre mot de passe est apparu dans une violation de données connue et doit être changé immédiatement.

FAQ

Qu'est-ce que l'entropie d'un mot de passe ?

L'entropie mesure l'imprévisibilité d'un mot de passe en bits. Chaque bit double le nombre de combinaisons possibles. Un mot de passe avec 60 bits d'entropie possède 2^60 (environ 1 quintillion) de combinaisons possibles, rendant les attaques par force brute impraticables.

Comment la vérification des violations protège-t-elle ma vie privée ?

Nous utilisons le k-anonymat : votre mot de passe est haché en SHA-1 localement, et seuls les 5 premiers caractères du hachage sont envoyés à l'API. Le serveur renvoie tous les hachages commençant par ces 5 caractères, et la comparaison s'effectue entièrement dans votre navigateur.

Le « temps pour déchiffrer » est-il précis ?

Il s'agit d'une estimation basée sur 10 milliards de tentatives par seconde (un taux réaliste pour les clusters de GPU modernes). Le temps de déchiffrage réel dépend de la méthode d'attaque, du matériel utilisé, et de si votre mot de passe correspond à des modèles courants.

Mon mot de passe n'a pas été trouvé dans les violations — est-il sûr ?

Pas nécessairement. Un mot de passe introuvable signifie qu'il n'est pas apparu dans des violations publiques connues. Il peut néanmoins rester vulnérable aux attaques par dictionnaire, à la reconnaissance de schémas ou aux tentatives de devinette ciblées. Visez toujours une entropie élevée.